Бесплатно Экспресс-аудит сайта:

12.06.2024

«Липкий оборотень» атакует российскую авиацию

Исследователи в области кибербезопасности из компании Morphisec раскрыли детали вредоносной активности группы Sticky Werewolf («Липкий оборотень»), связанной с кибератаками на предприятия в России и Беларуси.

Выявленные ранее атаки были нацелены на неназванную фармацевтическую компанию и российский исследовательский институт микробиологии и разработки вакцин. Теперь же основной удар на себя принял российский авиационный сектор.

«В предыдущих кампаниях Sticky Werewolf цепочка заражения начиналась с фишинговых писем, содержащих ссылку для скачивания вредоносного файла с таких платформ, как gofile.io», — рассказал исследователь безопасности Арнольд Осипов. «В последней кампании использовались архивные файлы с LNK-файлами, ведущими на полезную нагрузку, хранящуюся на WebDAV-серверах».

Sticky Werewolf — одна из многих групп, нацеленных на Россию и Беларусь, наряду с Cloud Werewolf, Quartz Wolf, Red Wolf и Scaly Wolf. Впервые группу задокументировали исследователи компании BI.ZONE в октябре 2023 года. Считается, что Sticky Werewolf активна как минимум с апреля 2023 года.

Новая цепочка атак, наблюдаемая Morphisec, включает использование вложений RAR-архивов, которые при извлечении содержат два LNK-файла и отвлекающий PDF-документ.

Само письмо написано от имени АО «ОКБ Кристалл» — реальной существующей российской компании, специализирующейся на разработке и производстве микроэлектронных компонентов и систем, задействованных в самых разных отраслях российской промышленности.

Получателям письма предлагалось загрузить архив и запустить LNK-файлы в нём для получения повестки дня «предстоящей видеоконференции». Открытие любого из LNK-файлов запускает исполняемый файл, размещённый на WebDAV-сервере, что приводит к выполнению обфусцированного скрипта Windows.

Этот скрипт затем запускает AutoIt -скрипт, который в конечном итоге внедряет финальную полезную нагрузку, обходя при этом программное обеспечение безопасности и избегая попыток анализа.

«Данный исполняемый файл — это самораспаковывающийся архив NSIS, который является частью ранее известного криптора CypherIT», — отметил Осипов. «Хотя оригинальный CypherIT больше не продаётся, текущий исполняемый файл — это его вариация, распространяемая сразу на нескольких хакерских форумах».

Цель данной кампании — доставить на устройства в целевых компаниях трояны удалённого доступа (RAT) и похитители информации, например, Rhadamanthys и Ozone RAT, тем самым скомпрометировав предприятия критически важных отраслей.

Изощренные попытки «Липкого оборотня» атаковать российскую авиапромышленность — чёткий сигнал о необходимости усилить кибербезопасность критической инфраструктуры. Хакерские группировки постоянно совершенствуют свои методы, поэтому своевременное внедрение ответных защитных мер является задачей первостепенной важности.