Центр кибербезопасности F6 выявил новую волну атак, организованных хакерской группой Werewolves, известной с 2023 года. Несмотря на усилия по противодействию, группа вернулась к маскировке вредоносных рассылок, направленных на ключевые отрасли — от промышленных предприятий до финансового сектора России. Аналитики предупреждают о возросшей активности и использовании сложных техник обхода защиты.
Основные цели и инструменты атаки
Группа Werewolves традиционно ориентирована на:
- промышленные предприятия;
- телекоммуникационные и IT-компании;
- финансовые и страховые организации.
Для реализации своих кампаний злоумышленники применяют комплекс технических средств, включая:
- Anydesk — удалённый доступ;
- Netscan — сканирование сетей;
- Cobalt Strike — инструмент для проведения post-exploitation атак;
- Meterpreter — расширенный payload;
- Lockbit — программа-вымогатель (ransomware).
Двойная стратегия вымогательства
Особенностью действий группы является комбинированный подход, сочетающий:
- шифрование данных жертв с требованием выкупа;
- тактику публичного позора — публикацию информации о тех, кто отказывается платить.
Такая модель усиливает давление на пострадавшие организации и повышает вероятность выполнения требований злоумышленников.
Маскировка вредоносных вложений и социальная инженерия
Атаки последней волны характеризуются использованием фишинговых писем с поддельными юридическими угрозами — например, досудебными исками. Вредоносные файлы замаскированы под законные документы, используя уязвимость CVE-2017-11882. Эта известная уязвимость позволяет злоумышленникам выполнять произвольный код при открытии файла.
Кроме того, злоумышленники применяют следующие уловки:
- файлы с вводящими в заблуждение расширениями — например, .pdf.LNK, которые кажутся безобидными, но на самом деле содержат вредоносный код;
- скрытие истинных расширений файлов, используя настройки Windows, что увеличивает шансы открытия вложений пользователями;
- маскировка адресов отправителей писем — электронные сообщения выглядят так, будто они отправлены внутренними сотрудниками, например, главным бухгалтером российского аэропорта.
Текущая активность и методы распространения
В июне 2025 года Werewolves активизировали кампании по рассылке вредоносных писем в ряд отраслей, в том числе:
- финансы;
- энергетику;
- розничную торговлю.
Вредоносные вложения представляют собой сжатые архивы, часто построенные с несколькими уровнями вредоносных расширений, что усложняет их обнаружение антивирусными системами. После открытия таких вложений на систему жертвы разворачивается Cobalt Strike Beacon, который открывает злоумышленникам доступ для дальнейшей компрометации и управления.
Заключение и рекомендации
Неоднократное использование уязвимости CVE-2017-11882 группой свидетельствует о последовательном и методичном подходе к реализации атак. Это подчеркивает важность своевременного патч-менеджмента и повышения осведомленности сотрудников организаций о рисках подобных рассылок.
Центр F6 отмечает, что своевременное вмешательство кибераналитиков позволило заблокировать очередную волну зловредных рассылок. Тем не менее, риски остаются высокими, и необходимо принимать упреждающие меры безопасности:
- регулярно обновлять программное обеспечение и устранять известные уязвимости;
- проводить обучение персонала методам социальной инженерии;
- внедрять многоуровневую защиту электронной почты и антивирусных решений;
- мониторить и анализировать подозрительные электронные письма;
- использовать процедуры реагирования на инциденты и резервное копирование данных.
Только комплексный подход поможет организациям минимизировать угрозы со стороны таких групп, как Werewolves, и защитить критически важные бизнес-процессы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Возобновление атак Werewolves: киберугроза промышленности и финансов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
