Специалисты F.A.C.C.T. Threat Intelligence обнаружили на платформе VirusTotal вредоносный файл, связанный с группировкой кибершпионов Core Werewolf (PseudoGamaredon). Его загрузили из армянского города Гюмри.
Обнаруженное ВПО — самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC, которую использует группа Core Werewolf.
В качестве документа-приманки использовалось ходатайство о награждении военнослужащих, отличившихся в ходе СВО, в том числе Орденом Мужества.
Core Werewolf — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры.
В марте 2024 г. Core Werewolf атаковала НИИ, занимающийся разработкой вооружения. А в начале апреля — российский оборонный завод. Первая активность группы зафиксирована летом 2021 г.
Технический обзор атаки смотрите на Хабре: https://habr.com/ru/companies/f_a_c_c_t/articles/808143/