Разработчик технологий, направленных на борьбу с киберпреступлениями, компания F.A.C.C.T. зафиксировала новую активность группы кибершпионов под названием Core Werewolf. По информации специалистов, хакерами был запущен вредоносный файл, предназначенный для атаки на программное обеспечение русских военных в Армении.
Опасный архив
Присутствие подозрительного файла было обнаружено экспертами русской компании на платформе для проверки сомнительных файлов и ссылок VirusTotal. Вредоносная программа представлена в виде архива 7zSFX с возможностью самораспаковки. Её назначение заключается в том, чтобы скрытно установить и запустить программу удалённого доступа, через которую злоумышленники могут заполучить контроль над чужими компьютерами и их содержимым. Специалисты по кибербезопасности уверены, что целью этой атаки является 102-я военная база России. Это подтверждается следующими фактами:
- В качестве документа-приманки было использовано ходатайство о якобы представлении к государственным наградам России, в том числе к "Ордену Мужества" для военных, которые проявили мужество и героизм при проведении Специальной военной операции (СВО).
- Вредоносный файл был загружен из города Гюмри, где располагается 102-я военная база России в Армении.
Для управления заражёнными компьютерами использовался тот же домен, который уже был связан с хакерскими атаками группы Core Werewolf в 2023 году. Когда срок аренды домена подходил к концу, злоумышленники продлили его еще на год, и в этот же день начали использовать его для осуществления новых атак.
Из-за характерного "почерка" организации атаки, у сотрудников компании F.A.C.C.T. есть уверенность в том, что новый вредоносный файл является продуктом деятельности группы хакеров под названием Core Werewolf, которая с 2021 года осуществляет атаки на объекты ВПК и критически важные информационные системы России.
Что известно об авторах атаки
Кибершпионская группа под названием Core Werewolf представляет собой группу хакеров, которая сосредоточена на цифровом шпионаже в русских организациях, которые имеют отношение к оборонно-промышленному комплексу и критической информационной инфраструктуре России.
В первый раз их заметили в 2021 году. В марте 2024 года Core Werewolf совершила нападение на русский научно-исследовательский институт, занимающийся разработкой вооружения. А в начале апреля — на программное обеспечение, используемое при строительстве оборонного завода.
Атаки проводились по схожей схеме. Core Werewolf фальсифицировала и рассылала сообщения, содержащие ссылку на вредоносный файл, который был замаскирован под документ PDF или DOCX. При открытии пользователь видел на первый взгляд непримечательную служебную записку, инструкцию или резюме. А тем временем "червь" на устройстве жертвы запускает в фоновом режиме программу, и авторы атаки получают возможность удалённого доступа к системе.
Для данной группы хакеров характерно использование легитимного софта UltraVNC для того, чтобы оставаться незамеченными. Поэтому специалисты рекомендуют использовать специальные меры по защите электронной почты и мониторинг подозрительного поведения программ для защиты своей безопасности.