Осенью 2024 года специалисты F.A.C.C.T. Threat Intelligence зафиксировали большое количество кибератак прогосударственных APT-групп на российские организации, имеющие непосредственное отношение к СВО: воинские части, предприятия ОПК и фонды поддержки участников СВО. Наиболее активными APT-группами были Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas. В новом блоге проанализированы атаки группировок и раскрыта информация об обновлениях в тактиках, техниках и процедурах (TTPs).
Ключевые выводы исследования:
Группа Core Werewolf впервые стала использовать цепочку VBS-скриптов для установки легитимной программы удаленного доступа UltraVNC и, предположительно, добавила в свой арсенал новый SSH-бэкдор. Core Werewolf маскировала приманку под служебное письмо от имени замминистра обороны РФ и под письмо от ФСТЭК России.
Unicorn распространяла варианты самописного ВПО Unicorn под видом коммерческого предложения для покупки со скидкой оборудования для СВО и предложения о безвозмездной передаче техники в фонд для нужд военнослужащих СВО.
Злоумышленники из Sticky Werewolf продолжили кампанию MimiStick, нацеленную на предприятия ОПК, в результате разворачивали Sliver Implant и Quasar RAT. Частично атаки были описаны в нашей недавней статье, здесь же приведем индикаторы, связанные с ранее нераскрытой активностью, проводимой в рамках этой кампании. Помимо продолжающейся кампании MimiStick, были зафиксированы рассылки группы Sticky Werewolf в адрес научно-исследовательского и производственного предприятия в сфере ОПК, где в качестве финальной нагрузки устанавливался троян Darktrack RAT.
Cloud Atlas продолжает использовать вредоносные документы, содержащие ссылку в потоке 1Table для удаленной загрузки файла шаблона. На момент исследования вредоносные шаблоны были недоступны, но по содержимому приманок заметно нацеливание на военную сферу.
В новом блоге эксперты F.A.C.C.T. Threat Intelligence проанализировали атаки группировок Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas и раскрыли информацию об обновлениях в их тактиках, техниках и процедурах (TTPs).
Источник: habr.com
