Недавний отчет раскрывает детали серии сложных и многокомпонентных кибератак, которые связывают с хакерской группой Silent Werewolf. Основная цель злоумышленников — организации в России и Молдове. Их методы демонстрируют высокий уровень технической подготовки и использование многоступенчатого механизма доставки вредоносного ПО, что позволяет успешно скрывать следы своей деятельности и обходить системы безопасности.
Многоступенчатый механизм атаки: от фишинга до внедрения вредоносного кода
Первый этап атаки стартует с фишинговых рассылок, маскирующихся под письма от авторитетных организаций. Злоумышленники присылают сообщения с вложениями в виде ZIP-архивов, внутри которых скрывается дополнительный вредоносный контент. Механизм заражения предполагает следующий порядок действий:
- В ZIP-архиве содержится файл .LNK, который при запуске извлекает следующий ZIP-архив и инициирует следующий этап атаки.
- Внутри вложенных архивов находится файл конфигурации с расширением .ini, который маскирует легальный исполняемый файл, отвлекающий PDF-документ и вредоносный файл.
Ключевым элементом атаки является сетевой загрузчик в формате DLL, реализующий загрузку и активацию вредоносного ПО в системе жертвы.
Особенности работы сетевого загрузчика
Когда DLL запускается, она проверяет переданные аргументы командной строки:
- Если указан аргумент /startup, загрузчик запускает вредоносную полезную нагрузку, расположенную в папке %APPDATA% с именем 74EJ6RTFKKRSyfutozlv.exe.
- При запуске без аргументов загрузчик копирует и открывает отвлекающий PDF-документ из директории «Документы пользователя».
Кроме того, загрузчик создает асинхронную задачу, которая загружает дополнительное вредоносное ПО с URL, прописанного в конфигурационном файле. Для маскировки трафика злоумышленники используют строку user-agent, имитирующую легитимный браузерный запрос, что существенно затрудняет выявление атаки.
Полученный ответ приходит в кодировке Base64 и затем расшифровывается с использованием уникального XOR-ключа перед запуском в %APPDATA% под тем же каталогом 74EJ6RTFKKRS.
Обеспечение устойчивости и уклонение от обнаружения
Для сохранения устойчивости вредоносного ПО в системе создается сценарий автозапуска, запускающий экзешник при старте операционной системы. Отчет также выделяет следующий особо изощренный элемент методов атаки Silent Werewolf:
- Использование легитимных программных компонентов — например, известных исполняемых файлов Microsoft вроде DeviceMetadataWizard.exe — для сторонней загрузки DLL, что минимизирует подозрения и помогает обходить системы безопасности.
- Скрытие вредоносного кода с помощью различных методов кодирования, затрудняющих анализ и реверс-инжиниринг.
- Динамическая смена названий исполняемых файлов и библиотек, разнообразие вредоносных загрузчиков.
- Применение пользовательского загрузчика на C#, который обрабатывает команды из конфигурационных файлов, что значительно усложняет анализ и выявление очередных версий вредоносных компонентов.
Заключение
Группа Silent Werewolf демонстрирует высокий уровень профессионализма, используя продвинутые методы скрытности и координации атак. Многоступенчатый механизм доставки, маскировка под легитимные процессы и постоянное изменение инфраструктуры создают серьезные вызовы для систем информационной безопасности организаций в зоне риска.
Этот отчет напоминает о необходимости комплексного подхода к защите, включающего не только технические средства, но и обучение сотрудников правилам безопасности, особенно в отношении фишинговых рассылок.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Изощренные кибератаки Silent Werewolf на Россию и Молдову".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.