BI.ZONE: группировка Mysterious Werewolf перешла на собственные инструменты для атак на российский ВПК

Чтобы атаки сложнее было распознать, злоумышленники используют для удаленного доступа вредоносную программу собственной разработки. Ранее группировка применяла легитимный инструмент с открытым исходным кодом.

Группировка Mysterious Werewolf активна как минимум с 2023 года. За это время она не менее 3 раз инициировала атаки на предприятия российского ВПК.

Чтобы проникнуть в инфраструктуру, злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023-38831. Преступники рассылали от имени регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал «официальное письмо», WinRAR автоматически должен был исполнить вредоносный файл.

На устройство жертвы устанавливался оригинальный бэкдор RingSpy — программа для удаленного доступа, которая позволяет злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать с него файлы. Для управления бэкдором используется бот в Telegram.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение.

Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре.

Обнаружить атаку на ранней стадии и не допустить ее развития помогут выстроенные процессы мониторинга и реагирования на инциденты кибербезопасности. А своевременно узнавать о новых методах атак активных кибергруппировок и усиливать защиту компании позволят платформы threat intelligence.