Mysterious Werewolf атакует российский ВПК - «Новости» » Интернет технологии
sitename
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM - «Новости»
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM - «Новости»
Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
Атака TrojPix использует видеокабели для извлечения данных - «Новости»
Атака TrojPix использует видеокабели для извлечения данных - «Новости»
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube - «Новости»
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube - «Новости»
Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»
Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»

Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь атакует предприятия российского военно-промышленного комплекса (ВПК). Хакеры используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.


В компании BI.ZONE сообщают, что преступники рассылали от имени регуляторов письма с вредоносными архивами.


К каждому письму прилагался архив, в котором находились отвлекающий документ (на иллюстрации ниже) в виде официального письма и папка с вредоносным файлом в формате CMD. Малварь в архиве нацелена на эксплуатацию уязвимости CVE-2023-38831 в WinRAR, обнаруженной летом прошлого года.



Mysterious Werewolf атакует российский ВПК - «Новости»


При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который осуществлял следующие действия:



  • создавал файл .vbs в папке C:Users[user]AppDataLocal и записывал скрипт, запускающий файл, имя которого было передано как аргумент.

  • создавал файл 1.bat в папке C:Users[user]AppDataLocal и запускал его с помощью команды call "%localappdata%.vbs" "%localappdata%1.bat".

  • после запуска производил самоудаление: (goto) 2>nul & del "%~f0".


Специалисты напоминают, что ранее эта хак-группа использовала для атак агент Athena фреймворка Mythic — легитимный пентестерский инструмент. Но теперь Mysterious Werwolf чаще использует малварь собственной разработки.


Так, в рамах атак на ВПК на устройства жертв устанавливался оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды в скомпрометированной системе и похищать файлы. Для управления бэкдором используется бот в Telegram.


«В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение.

Сейчас Mysterious Werewolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.


Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь атакует предприятия российского военно-промышленного комплекса (ВПК). Хакеры используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD. В компании BI.ZONE сообщают, что преступники рассылали от имени регуляторов письма с вредоносными архивами. К каждому письму прилагался архив, в котором находились отвлекающий документ (на иллюстрации ниже) в виде официального письма и папка с вредоносным файлом в формате CMD. Малварь в архиве нацелена на эксплуатацию уязвимости CVE-2023-38831 в WinRAR, обнаруженной летом прошлого года. При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который осуществлял следующие действия: создавал файл .vbs в папке C:Users_
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: