Хакеры атаковали российский ВПК и украли ценные файлы: увидели утечку далеко не сразу
Группировка Mysterious Werewolf маскировала вредоносное ПО под легитимные сервисы, так что в компании-жертвы не сразу поняли, что их атаковали.
Хакерская группировка Mysterious Werewolf, действующая с 2023 года, начала использовать собственные программы для атак на российский военно-промышленный комплекс (ВПК). Это выяснила российская компания по управлению цифровыми рисками Bi.Zone, передает Gaming deputy.
По словам Олег Скулкина из Bi.Zone, группировке Mysterious Werwolf удалось интегрировать в свою вредоносную программу легальные сервисы. Это, по его мнению, затруднило обнаружение атаки — длительное время никто не подозревал, что системы российских компаний скомпрометированы.
Некоторое время назад стало известно о том, что Mysterious Werewolf атаковала нескольких российских поставщиков полупроводников. А недавно удалось выяснить, что хакеры из этой группы причастны к атаке на российских производителей, работающих в сфере ВПК.
Злоумышленники выдавали себя за Министерство промышленности и торговли РФ, рассылая фишинговые письма, содержащие архив Pismo_izveshcanie_2023_10_16.rar, который эксплуатировал уязвимость CVE-2023-38831 в WinRAR, обнаруженную еще летом прошлого года.
В архиве находился PDF-документ, а также папка с вредоносным CMD-файлом. После открытия архива и нажатия на документ эксплойт запускал CMD-файл. Соответственно, WinRAR.exe запускал cmd.exe для активации вредоносного файла CMD, который потом выполнял скрипт PowerShell.
По мнению исследователей в сфере кибербезопасности, скрипт выполнял следующие действия:
- загружал зараженный PDF-документ и открывал его;
- загружал агента Athena из Cloudfare.webredirect.org и сохранял его;
- создавал в планировщике Windows задачу для запуска агента каждые 10 минут.
Интересной особенность атаки стало то, что хакеры Mysterious Werwolf не просто использовали кроссплатформенный фреймворк для совместной работы пентестеров Mythic C2, позволяющий выполнять различные действия, взаимодействовать с файловой системой скомпрометированной машины, загружать и скачивать файлы, выполнять команды и скрипты, сканировать сеть и пр. Они сочетали фреймворк с собственным вредоносным ПО.
Так, на устройства жертв был установлен оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды внутри скомпрометированной системы и, как следствие, красть файлы. Для управления бэкдором использовали Telegram-бот.
Ранее мы писали о том, что Chat GPT-4 может любого человека превратить в хакера. Большинство ИИ-моделей не справились со взломом сайтов, но GPT-4 справился с 11 из 15 задач и даже обнаружил реальную уязвимость.