Хакер Silent Werewolf использует передовые методы обфускации в атаках на российские и молдавские организации
Группа хакеров Silent Werewolf продолжает развивать свои техники и применять сложные методы для обхода систем защиты. Их атаки нацелены в первую очередь на организации в России и Молдове и базируются на использовании фишинговых электронных писем, которые маскируются под сообщения от авторитетных учреждений. Это позволяет злоумышленникам завоевать доверие потенциальных жертв и повысить эффективность атак.
Методология атак Silent Werewolf
Одной из основных методик Silent Werewolf является доставка вредоносного ZIP-файла, содержащего ключевой файл LNK. Этот файл становится катализатором для извлечения и активации многочисленных слоев вредоносного ПО, спрятанных во вложенных ZIP-архивах. Такая многоступенчатая структура значительно затрудняет анализ и обнаружение угрозы.
- Вредоносная полезная нагрузка включает ложный PDF-файл и легитимный исполняемый файл DeviceMetadataWizard.exe, запускающийся параллельно с вредоносным компонентом.
- Сетевой загрузчик, известный как d3d9.dll, отвечает за загрузку окончательной версии вредоносного ПО в каталог %APPDATA%74EJ6RTFKKRS и его исполнение.
- При запуске загрузчик проверяет аргументы: с параметром /startup запускается вредоносная нагрузка, без аргументов же появляется поддельный PDF-файл — хитрый способ обхода подозрений.
Автоматизация и скрытность атак
Для обеспечения постоянного присутствия на взломанных системах злоумышленники создают в системной папке автозагрузки пакетный скрипт startapp.bat, который гарантирует автоматический запуск вредоносного приложения H5GDXM70NJ.exe при загрузке компьютера.
Кроме того, вредоносная программа использует асинхронные задачи, что позволяет одновременно выполнять несколько операций:
- рекурсивный поиск дополнительных ZIP-архивов;
- извлечение их содержимого во временные папки с помощью PowerShell;
- параллельная обработка данных для повышения скорости и снижения вероятности обнаружения.
Сложная конфигурация и защита от обнаружения
Файл конфигурации config.bin, применяемый в кампаниях Silent Werewolf, содержит команды командной строки CMD и зашифрованные инструкции. Это позволяет злоумышленникам автоматически выполнять различные действия, минимизируя вероятность обнаружения со стороны систем защиты.
Особое внимание заслуживает структура config.bin, в которую входят как легитимные библиотеки DLL, так и вредоносный DLL-загрузчик. Интересной особенностью является динамическое изменение имени вредоносного DLL-файла при каждом новом развертывании, что затрудняет создание универсальных сигнатур для антивирусов.
Аналитика и выводы
Подход Silent Werewolf демонстрирует заметную тенденцию современной киберпреступности — использование сложной иерархической структуры, методов уклонения (obfuscation) и легитимных программных компонентов для повышения эффективности атак и снижения риска обнаружения.
Постоянное развитие и адаптация этих методик подтверждают сохраняющуюся опасность для целевых организаций. В то же время ситуация подчеркивает критическую необходимость создания и поддержки надежных систем обнаружения и реагирования в корпоративной кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Silent Werewolf: сложные методы обфускации в кибератаках".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.