Розділи
Матеріали

Хакери атакували російський ВПК і вкрали цінні файли: побачили витік не відразу

Ірина Рефагі
Фото: Getty Images | Хакер за комп'ютером: ілюстративне фото

Угруповання Mysterious Werewolf маскувало шкідливе ПЗ під легітимні сервіси, тож у компанії-жертви не відразу зрозуміли, що їх атакували.

Хакерське угруповання Mysterious Werewolf, що діє з 2023 року, почало використовувати власні програми для атак на російський військово-промисловий комплекс (ВПК). Це з'ясувала російська компанія з управління цифровими ризиками Bi.Zone, передає Gaming deputy.

За словами Олега Скулкіна з Bi.Zone, угрупованню Mysterious Werwolf вдалося інтегрувати у свою шкідливу програму легальні сервіси. Це, на його думку, ускладнило виявлення атаки — тривалий час ніхто не підозрював, що системи російських компаній скомпрометовано.

Деякий час тому стало відомо про те, що Mysterious Werewolf атакувала кількох російських постачальників напівпровідників. А нещодавно вдалося з'ясувати, що хакери з цієї групи причетні до атаки на російських виробників, які працюють у сфері ВПК.

Зловмисники видавали себе за Міністерство промисловості і торгівлі РФ, розсилаючи фішингові листи, що містили архів Pismo_izveshcanie_2023_10_16.rar, який експлуатував уразливість CVE-2023-38831 у WinRAR, виявлену ще влітку минулого року.

В архіві містився PDF-документ, а також папка зі шкідливим CMD-файлом. Після відкриття архіву і натискання на документ експлойт запускав CMD-файл. Відповідно, WinRAR.exe запускав cmd.exe для активації шкідливого файлу CMD, який потім виконував скрипт PowerShell.

На думку дослідників у сфері кібербезпеки, скрипт виконував такі дії:

  • завантажував заражений PDF-документ і відкривав його;
  • завантажував агента Athena з Cloudfare.webredirect.org і зберігав його;
  • створював у планувальнику Windows завдання для запуску агента кожні 10 хвилин.

Цікавою особливістю атаки стало те, що хакери Mysterious Werwolf не просто використовували кросплатформений фреймворк для спільної роботи пентестерів Mythic C2, який дає змогу виконувати різноманітні дії, взаємодіяти з файловою системою скомпрометованої машини, завантажувати й скачувати файли, виконувати команди та скрипти, сканувати мережу тощо. Вони поєднували фреймворк із власним шкідливим ПЗ.

Так, на пристрої жертв було встановлено оригінальний бекдор RingSpy, призначений для віддаленого доступу, що дає змогу зловмисникам виконувати команди всередині скомпрометованої системи і, як наслідок, красти файли. Для управління бекдором використовували Telegram-бот.

Раніше ми писали про те, що Chat GPT-4 може будь-яку людину перетворити на хакера. Більшість ШІ-моделей не впоралися зі зломом сайтів, але GPT-4 впорався з 11 з 15 завдань і навіть виявив реальну вразливість.