12.06.2024 | «Липкий оборотень» атакует российскую авиацию |
Исследователи в области кибербезопасности из компании Morphisec раскрыли детали вредоносной активности группы Sticky Werewolf («Липкий оборотень»), связанной с кибератаками на предприятия в России и Беларуси. Выявленные ранее атаки были нацелены на неназванную фармацевтическую компанию и российский исследовательский институт микробиологии и разработки вакцин. Теперь же основной удар на себя принял российский авиационный сектор. «В предыдущих кампаниях Sticky Werewolf цепочка заражения начиналась с фишинговых писем, содержащих ссылку для скачивания вредоносного файла с таких платформ, как gofile.io», — рассказал исследователь безопасности Арнольд Осипов. «В последней кампании использовались архивные файлы с LNK-файлами, ведущими на полезную нагрузку, хранящуюся на WebDAV-серверах». Sticky Werewolf — одна из многих групп, нацеленных на Россию и Беларусь, наряду с Cloud Werewolf, Quartz Wolf, Red Wolf и Scaly Wolf. Впервые группу задокументировали исследователи компании BI.ZONE в октябре 2023 года. Считается, что Sticky Werewolf активна как минимум с апреля 2023 года. Новая цепочка атак, наблюдаемая Morphisec, включает использование вложений RAR-архивов, которые при извлечении содержат два LNK-файла и отвлекающий PDF-документ.
Само письмо написано от имени АО «ОКБ Кристалл» — реальной существующей российской компании, специализирующейся на разработке и производстве микроэлектронных компонентов и систем, задействованных в самых разных отраслях российской промышленности. Получателям письма предлагалось загрузить архив и запустить LNK-файлы в нём для получения повестки дня «предстоящей видеоконференции». Открытие любого из LNK-файлов запускает исполняемый файл, размещённый на WebDAV-сервере, что приводит к выполнению обфусцированного скрипта Windows. Этот скрипт затем запускает AutoIt -скрипт, который в конечном итоге внедряет финальную полезную нагрузку, обходя при этом программное обеспечение безопасности и избегая попыток анализа. «Данный исполняемый файл — это самораспаковывающийся архив NSIS, который является частью ранее известного криптора CypherIT», — отметил Осипов. «Хотя оригинальный CypherIT больше не продаётся, текущий исполняемый файл — это его вариация, распространяемая сразу на нескольких хакерских форумах». Цель данной кампании — доставить на устройства в целевых компаниях трояны удалённого доступа (RAT) и похитители информации, например, Rhadamanthys и Ozone RAT, тем самым скомпрометировав предприятия критически важных отраслей. Изощренные попытки «Липкого оборотня» атаковать российскую авиапромышленность — чёткий сигнал о необходимости усилить кибербезопасность критической инфраструктуры. Хакерские группировки постоянно совершенствуют свои методы, поэтому своевременное внедрение ответных защитных мер является задачей первостепенной важности. |
Проверить безопасность сайта