Silent Werewolf меняет подходы и инструменты, чтобы оставаться неузнанным

Для доставки замаскированного загрузчика использовались фишинговые письма от лица реально существующих компаний. Некоторые жертвы получили загрузчик под видом рекомендаций по защите от кибератак.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

- Многие организации, особенно крупные, используют в качестве одного из элементов киберзащиты так называемые песочницы. Чтобы выявить вредоносные программы, песочницы запускают подозрительный объект в виртуальной среде и проверяют, представляет ли он угрозу.

Однако злоумышленники Silent Werewolf предусмотрели такой вариант. После запуска загрузчика происходило обращение к серверу атакующих для скачивания другой вредоносной программы. Если страна или организация, в которых был запущен загрузчик, не интересовала атакующих, или же загрузчик был запущен повторно, то вместо ВПО загружался легитимный файл языковой модели LLaMA. Из-за этого песочница уже не могла получить вредоносную нагрузку и собрать больше информации по цепочке атаки.

Первая из мартовских кампаний Silent Werewolf была направлена исключительно на российские организации, вторая — на компании из Молдовы и, предположительно, из России. Всего злоумышленники попытались атаковать около 80 организаций из различных отраслей, включая атомную промышленность, приборо-, авиа- и машиностроение.