В июле 2025 года ряд российских государственных учреждений стал мишенью целенаправленной кибератаки, инициированной группировкой Cavalry Werewolf. После сообщений об отправке несанкционированных спам‑письем с корпоративного аккаунта, специалисты «Доктор Веб» начали расследование и подтвердили, что атака носила целенаправленный характер и была направлена на сбор конфиденциальной информации и сетевых конфигураций.
Что произошло
События складывались следующим образом:
- Первичный инцидент зафиксирован в июле 2025 года: одно из агентств заметило рассылку спам‑письем со своего корпоративного почтового ящика.
- Расследование «Доктор Веб» показало, что рассылка была частью более широкой кампании, целью которой было получение удалённого доступа и эксфильтрация данных.
- Первичный вектор — фишинговые письма с вложением, маскируемым под документы; вредоносная нагрузка содержалась в паролем защищённых архивах.
Технический анализ вредоносного ПО
В ходе расследования был идентифицирован бэкдор Backdoor.ShellNET.1. Ключевые характеристики и особенности обнаруженного ПО:
- Тип: бэкдор, обеспечивающий удалённый доступ через обратную оболочку (reverse shell).
- Происхождение кода: модуль построен на базе открытого проекта Reverse-Shell-CS, что подчёркивает практику использования и модификации публичного кода для ускорения разработки вредоносных инструментов.
- Метод распространения: вредоносный файл рассылается в паролем защищённом архиве; имена файлов и способы развёртывания варьировались в зависимости от целевой среды.
- Функциональность: исполнение команд злоумышленников через PowerShell и командную оболочку Windows; установка устойчивости за счёт ключей автозапуска в реестре и использования фоновых задач BITS.
По результатам анализа, «Доктор Веб» подтвердил: группа использовала сложную комбинацию стандартных и кастомизированных техник для получения доступа, закрепления в сети и скрытой эксфильтрации данных.
Тактики и приёмы (соответствие MITRE ATT&CK)
Акторы применяли приёмы, чётко коррелирующие с фреймворком MITRE ATT&CK:
- Initial Access: Spear Phishing with Attachment — T1566.001
- Execution: User Execution — T1204
- Execution: PowerShell — T1059.001
- Execution: Command and Scripting Interpreter: Windows Command Shell — T1059.003
- Persistence: Registry Run Keys / Startup Folder — T1547.001
- Persistence / Defense Evasion: Background Intelligent Transfer Service (BITS) Jobs — T1197
- Privilege Escalation: Bypass User Account Control — T1548.002
- Command and Control: External Proxy — T1090.002
- Command and Control: Bidirectional Communication — T1102.002
- Exfiltration: Exfiltration Over Command and Control Channel — T1041
- Exfiltration: Exfiltration Over Web Service — T1567
Последствия инцидента
Последствия могли включать:
- компрометацию конфиденциальных документов и сетевых конфигураций;
- длительное скрытое присутствие злоумышленников в инфраструктуре (за счёт persistence‑механизмов и использования BITS);
- риски дальнейшей целевой деятельности: разведывательные операции, распространение по сети, последующая поставка дополнительных модулей.
Рекомендации по защите и реагированию
Исходя из обнаруженных приёмов, «Доктор Веб» и эксперты по кибербезопасности рекомендуют предпринять следующие меры:
- усилить обучение сотрудников по выявлению Spear Phishing, особенно обращая внимание на вложения в паролем защищённых архивах;
- блокировать и сканировать вложения в архивах при входящей почте, вводить контроль на уровне шлюзов;
- внедрить и поддерживать EDR/IDS с детекцией подозрительных PowerShell‑ и cmd‑команд, а также мониторингом BITS‑задач;
- контролировать и защищать ключи автозапуска в реестре, вести аудит изменений в реестре и автозагрузке;
- усилить политику UAC и минимизировать права пользователей (least privilege);
- ограничить исходящий трафик, настроить фильтрацию по доменам и прокси, мониторить аномалии C2‑каналов;
- внедрить многофакторную аутентификацию (MFA) для удалённого доступа и критических сервисов;
- при подозрении на компрометацию — изолировать скомпрометированные узлы, провести форензик‑съём и восстановление из резервных копий.
Вывод
Инцидент с участием Cavalry Werewolf подчёркивает, что государственные структуры остаются приоритетной целью для высокомотивированных злоумышленников. Использование открытых библиотек, таких как Reverse-Shell-CS, в сочетании с отработанными техникой социальной инженерии и эксплуатацией стандартных средств Windows (PowerShell, BITS, реестр) делает такие кампании эффективными и трудными для раннего обнаружения.
Органы власти и организации должны рассматривать подобные инциденты как призыв к системному укреплению киберзащиты: от обучения персонала до внедрения современных средств детекции и строгой сегментации сети.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Cavalry Werewolf: фишинг, Backdoor.ShellNET.1 и эксфильтрация".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.