Группировка Core Werewolf атакует российские оборонно-промышленные организации и субъекты критической информационной инфраструктуры как минимум с августа 2021 года. Около месяца назад злоумышленники стали использовать для атак новый загрузчик собственной разработки, написанный на популярном языке программирования Autolt.
Представители Core Werewolf рассылали фишинговые письма со ссылками, по которым находились RAR-архивы. Внутри тех, в свою очередь, находились самораспаковывающиеся архивы (SFX). Каждый из них содержал вредоносный скрипт, необходимый для его исполнения легитимный интерпретатор, а также отвлекающий документ в формате PDF. Если пользователь открывал архив, чтобы посмотреть «документы», содержимое SFX-файла извлекалось в папку для хранения временных файлов (TEMP). Затем с помощью интерпретатора запускался загрузчик, который устанавливал вредоносное ПО на скомпрометированное устройство.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
«Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы. Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов, что средства защиты не смогут его распознать».
С июня этого года группировка также стала экспериментировать со способами доставки вредоносных файлов. Предполагаемым жертвам писали не только по почте, но и в мессенджерах, чаще всего в Telegram.
Чтобы выстроить эффективную киберзащиту, компании должны быть в курсе особенностей атак на свои отрасли и на конкретные инфраструктуры. Информацию об актуальных угрозах, методах злоумышленников, используемых инструментах и новых каналах доставки ВПО предоставляют порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные помогают обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз.