Хакерская группировка Werewolves, использующая на входе организации своих кибератак одну из разновидностей программы-вымогателя LockBit, продолжает активно проводить атаки против различных российских компаний. С конца апреля 2024 года регистрируется увеличение количества вредоносных почтовых рассылок на адреса различных отечественных промышленных предприятий, телекоммуникационных и ИТ-компаний, организаций страхового и финансового сектора, сообщает F.A.C.C.T.
По словам специалистов по информационной безопасности из F.A.C.C.T., злоумышленники из группировки Werewolves рассылают действительно огромное количество фишинговых писем российским организациям разных отраслей деятельности. При этом некоторые компании даже на своих официальных сайтах публикуют соответствующие предупреждения, как это произошло, к примеру, на предприятии НПО «КЗСТ».
Аналитики компании F.A.C.C.T. проанализировали файл, который хакеры стараются заставить загрузить пользователей, получивших фишинговое письмо. Этот файл имеет название «Рекламация.doc». Как показало исследование, он осуществляет загрузку RTF с эксплойтом к старой уязвимости CVE-2017-11882 в Microsoft Office, которая была исправлена более 6 лет назад американским разработчиком. Однако киберпреступники до сих пор достаточно активно применяют её в атаках на различные организации.
После того как эксплойт будет отработан на пользовательском устройстве, с другого ресурса в доменной зоне .ru через редирект происходит загрузка файла HTA, который выполняет PowerShell-команду, распаковывая и запуская стейджер Cobalt Strike. Последний, в свою очередь, начинает загрузку маячка Cobalt Strike с вшитым адресом сервера управления и контроля, принадлежащего злоумышленникам.
Как рассказали специалисты компании F.A.C.C.T., этот инструмент хакерская группировка Werewolves использует уже достаточно давно. С его помощью киберпреступники могут намного проще проникать в корпоративную ИТ-инфраструктуру целевых организаций.
Оригинал публикации на сайте CISOCLUB: "Хакеры проводят атаки на российские компании с эксплуатацией уязвимости закрытой 6 лет назад".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
