Кибершпионская APT-группа Sticky Werewolf попыталась испортить праздники и атаковала российские организации в новогодние каникулы. Так, 2 и 3 января они направили около 250 писем на электронную почту телекоммуникационной компании.
Система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила и заблокировала фишинговые письма, отправленные на электронные адреса цели якобы от имени Федеральной службы безопасности.
В фишинговом сообщении с темой «О предоставлении информации» была просьба предоставить заверенные копии документов «согласно запросу» и ссылка на загрузку вредоносного файла. В рамках атаки злоумышленники в очередной раз использовали троян удаленного доступа Darktrack RAT.
Скриншот вредоносного письма
Как и в прошлую атаку, письмо было отправлено с бесплатного почтового сервиса, что сразу должно насторожить получателя. Заканчивался текст строчкой, не характерной для столь серьезного ведомства: «Заранее благодарны за срочность в предоставлении информации».
В декабре 2023 года Sticky Werewolf дважды атаковали похожим образом российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем.
Sticky Werewolf — кибершпионская группа, которая c апреля по октябрь 2023 г. провела не менее 30 атак на госучреждения и финкомпании в РФ и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
Индикаторы компрометации:
Zapros_115-24-6-2251_page-0001.pdf.exeMD5: 14cca4bc776a664e85490686fe463c0cSHA-1: 44c8b5517ca7f7b6b981cae138df387aeec0d3cdSHA-256: 211d2e18cb54691ade1002138a7273964993340dc1d8a9adddc6d9b3a1a99ef9
Symlnk.exeMD5: 9dfece2bddffebd277333c33e8ac3eceSHA-1: c1a348bb77e64e30910438078e10cf880102b507SHA-256: 17e246cb46a95ef335a287ff757a8d807ab5cc126663bce30d1ec6fd7211c996
URLs:hxxps://mail.ru-cloud[.]net/Zapros_115-24-6-2251_page-0001.pdfhxxps://store4.gofile[.]io/download/direct/b1ff2622-63fd-4ba5-9d77-e22c75105744/Zapros_115-24-6-2251_page-0001.pdf.exehxxps://store7.gofile[.]io/download/direct/4f04bdcd-3e0d-4194-880b-ba0881d3fca4/Symlnk.exe
Файлы:%TEMP%115-24-6-2251_page-0001.pdf%APPDATA%MicrosoftWindowsStart MenuProgramsStartupSymlnk.lnk%APPDATA%Symlnk.exe%APPDATA%Klog.dat
Мьютекс:I_AM_DTdaUyZXdW
IP-адрес:185.12.14[.]32:9658 — C2 Darktrack RAT
Источник: habr.com
Похожие новости:
Кибершпионы Sticky Werewolf атакуют польские организации
Кибершпионы Sticky Werewolf решили почистить компании в Белоруси
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
В полку “ратников” прибыло: эксперты F.A.C.C.T. проанализировали новый троян удаленного доступа RADX RAT