Эксперты Threat Intelligence компании F.A.C.C.T. обнаружили новые атаки кибершпионской группы Sticky Werewolf. Одно из писем, перехваченных системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR, было отправлено от имени Минстроя России. В сообщении говорится о якобы изменениях в приказе Министра обороны №80 от 2020 года об оснащении объектов техническими средствами охраны.
Судя по заголовкам письма, еще одной вероятной целью атакующих должен был стать российский научно-исследовательский институт, занимающийся проблемами микробиологии, в том числе разработкой вакцин.
Sticky Werewolf — кибершпионская группа, которая, по данным компании «Бизон», начиная с апреля по октябрь 2023 года провела не менее 30 атак на государственные учреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а в качестве полезной нагрузки такие инструменты, как трояны удаленного доступа NetWire RAT и Ozone RAT, а также стилер MetaStealer / RedLine Stealer.
Атака от 4 декабря
В теле фишингового письма содержится ссылка на загрузку вредоносного файла hxxps://online-cloud[.]info/prikaz_80_new.pdf. При переходе по ссылке происходит переадресация на другой ресурс hxxps://store5.gofile[.]io/download/direct/0730c9fd-966f-4c1e-9035-2b837cf81be7/prikaz_80_new.%D1%80df.exe и загружается исполняемый файл prikaz_80_new.pdf.exe.
Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.
Файл prikaz_80_new.pdf.exe представляет собой самораспаковывающийся архив, подготовленный в NSIS Installer. prikaz_80_new.pdf.exe содержит файл-приманку prikaz_80_new.pdf и исполняемый файл Symlink.exe, накрытый протектором Themida.
После запуска пользователем prikaz_80_new.pdf.exe происходит:
- создание файлов %TEMP%\prikaz_80_new.pdf, %APPDATA%\Symlink.exe;
- открытие файла-приманки prikaz_80_new.pdf;
- создание ярлыка %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Symlink.lnk, который будет запускать файл %APPDATA%\Symlink.exe после перезапуска системы;
- запуск файла Symlink.exe.
Файл Symlink.exe, после снятия Themida, представляет собой обфусцированный исполняемый .NET файл, содержащий 2 вредоносные программы. Symlink.exe отвечает за внедрение и запуск вредоносных программ в процессах AddInProcess32.exe (Ozone RAT) и InstallUtil.exe (MetaStealer / RedLine Stealer).
Индикаторы компрометации:
prikaz_80_new.pdf.exe
MD5: ba27420674d55274b16e4549857aa633
SHA-1: de06ca07d6dd8734b429a31a454391340e8fac8d
SHA-256: 0c12dc03ecb9a7fdfcf67d33d8b564957166a4a664713c59c56b87e5c2ef2a13
Symlink.exe
MD5: b961e63eefee6090d8d3bcaad674f2f4
SHA-1: 93b728dc6f0ec246b048643233e0fa55fe465d85
SHA-256: d46e11a217d471bbed887639d9cc734f9a3576ae9aa22439ed2505eb1f2ce395
Файлы:
%TEMP%\prikaz_80_new.pdf
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Symlink.lnk
%APPDATA%\Symlink.exe
URLs:
hxxps://online-cloud[.]info/prikaz_80_new.pdf
hxxps://store5.gofile[.]io/download/direct/0730c9fd-966f-4c1e-9035-2b837cf81be7/prikaz_80_new.%D1%80df.exe
Домен:
online-cloud[.]info
IP-адреса:
185.12.14[.]32:666
45.142.122[.]192:16503