Хакеры атаковали российский ВПК и украли ценные файлы: увидели утечку далеко не сразу

хакер, монитор, код
Фото: Getty Images | Хакер за компьютером: иллюстративное фото

Группировка Mysterious Werewolf маскировала вредоносное ПО под легитимные сервисы, так что в компании-жертвы не сразу поняли, что их атаковали.

Хакерская группировка Mysterious Werewolf, действующая с 2023 года, начала использовать собственные программы для атак на российский военно-промышленный комплекс (ВПК). Это выяснила российская компания по управлению цифровыми рисками Bi.Zone, передает Gaming deputy.

По словам Олег Скулкина из Bi.Zone, группировке Mysterious Werwolf удалось интегрировать в свою вредоносную программу легальные сервисы. Это, по его мнению, затруднило обнаружение атаки — длительное время никто не подозревал, что системы российских компаний скомпрометированы.

Некоторое время назад стало известно о том, что Mysterious Werewolf атаковала нескольких российских поставщиков полупроводников. А недавно удалось выяснить, что хакеры из этой группы причастны к атаке на российских производителей, работающих в сфере ВПК.

Злоумышленники выдавали себя за Министерство промышленности и торговли РФ, рассылая фишинговые письма, содержащие архив Pismo_izveshcanie_2023_10_16.rar, который эксплуатировал уязвимость CVE-2023-38831 в WinRAR, обнаруженную еще летом прошлого года.

В архиве находился PDF-документ, а также папка с вредоносным CMD-файлом. После открытия архива и нажатия на документ эксплойт запускал CMD-файл. Соответственно, WinRAR.exe запускал cmd.exe для активации вредоносного файла CMD, который потом выполнял скрипт PowerShell.

По мнению исследователей в сфере кибербезопасности, скрипт выполнял следующие действия:

  • загружал зараженный PDF-документ и открывал его;
  • загружал агента Athena из Cloudfare.webredirect.org и сохранял его;
  • создавал в планировщике Windows задачу для запуска агента каждые 10 минут.
Важно
Империя хакеров LockBit разрушена: вымогали миллиарды евро и работали с Кремлем
Империя хакеров LockBit разрушена: вымогали миллиарды евро и работали с Кремлем

Интересной особенность атаки стало то, что хакеры Mysterious Werwolf не просто использовали кроссплатформенный фреймворк для совместной работы пентестеров Mythic C2, позволяющий выполнять различные действия, взаимодействовать с файловой системой скомпрометированной машины, загружать и скачивать файлы, выполнять команды и скрипты, сканировать сеть и пр. Они сочетали фреймворк с собственным вредоносным ПО.

Так, на устройства жертв был установлен оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды внутри скомпрометированной системы и, как следствие, красть файлы. Для управления бэкдором использовали Telegram-бот.

Ранее мы писали о том, что Chat GPT-4 может любого человека превратить в хакера. Большинство ИИ-моделей не справились со взломом сайтов, но GPT-4 справился с 11 из 15 задач и даже обнаружил реальную уязвимость.