Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB

Clubfoot Wolf атакует российские компании через фишинг и LNK

В мае и июне 2026 года российские компании, работающие в секторе оптовой торговли химической продукцией, столкнулись с целенаправленной волной атак, за которой стоит группа Clubfoot Wolf. Злоумышленники использовали изощрённые методы социальной инженерии и технически сложную цепочку заражения, чтобы скрытно доставить и закрепить инструмент удалённого доступа. Атака начинается с тщательно подготовленного фишингового письма. Отправители выдают себя за реальных сотрудников, заинтересованных в приобретении продукции целевой организации. Письма оформлены как рутинные запросы коммерческих предложений или счетов, что снижает порог подозрительности получателя. К сообщению прикреплён ZIP-архив. Внутри него находится malicious LNK-файл и несколько decoy files — документов-приманок, призванных убедить жертву в легитимности вложения и побудить открыть его. Главной полезной нагрузкой группы выступает легитимное программное обеспечение для удалённого администрирования NetSupport Manager. Однако спос
Оглавление

В мае и июне 2026 года российские компании, работающие в секторе оптовой торговли химической продукцией, столкнулись с целенаправленной волной атак, за которой стоит группа Clubfoot Wolf. Злоумышленники использовали изощрённые методы социальной инженерии и технически сложную цепочку заражения, чтобы скрытно доставить и закрепить инструмент удалённого доступа.

Фишинг с masquerading as employees

Атака начинается с тщательно подготовленного фишингового письма. Отправители выдают себя за реальных сотрудников, заинтересованных в приобретении продукции целевой организации. Письма оформлены как рутинные запросы коммерческих предложений или счетов, что снижает порог подозрительности получателя.

К сообщению прикреплён ZIP-архив. Внутри него находится malicious LNK-файл и несколько decoy files — документов-приманок, призванных убедить жертву в легитимности вложения и побудить открыть его.

Механизм доставки NetSupport Manager

Главной полезной нагрузкой группы выступает легитимное программное обеспечение для удалённого администрирования NetSupport Manager. Однако способ его доставки практически не оставляет следов на диске.

  • LNK-файл выполняет Base64-encoded PowerShell command, которая закодирована и зашифрована по алгоритму AES-128-CBC.
  • Скрипт расшифровывается и исполняется прямо в памяти системы — классическая fileless attack, не создающая обнаруживаемых артефактов на жёстком диске.
  • Расшифрованный PowerShell-сценарий загружает с удалённого сервера дополнительное вредоносное содержимое, фактически не сохраняя файлы на диск.

После дешифровки скрипт начинает этап закрепления и подготовки среды.

Закрепление и маскировка

PowerShell-сценарий выполняет сразу несколько действий, направленных на долговременное присутствие в скомпрометированной системе:

  • Создаёт decoy file в папке «Документы» пользователя — отвлекающий манёвр, маскирующий вредоносную активность.
  • По ссылке с Yandex Disk загружает ZIP-архив, содержащий исполняемые файлы и компоненты NetSupport Manager.
  • Монтирует полученный архив и беззвучно копирует его содержимое в назначенную директорию.
  • Регистрирует клиент NetSupport Manager в системном ключе Run реестра, обеспечивая автоматический запуск при каждой загрузке ОС.

В ряде случаев наблюдалась ошибка в имени исполняемого файла — некоторые версии вредоноса некорректно добавляли дублирующее расширение, например, .exe.exe. Это дополнительный индикатор, который могут использовать защитники.

Сам ZIP-архив содержит файлы с бессмысленным содержимым — ещё один слой камуфляжа, призванный замаскировать истинное назначение передаваемых данных и запутать автоматические средства анализа.

Эволюция тактик

Clubfoot Wolf демонстрирует постоянное стремление изменять методы заражения и доставки. В ходе кампании зафиксировано активное применение URL shortening services для сокрытия ссылок, ведущих к полезной нагрузке. Это усложняет обнаружение на уровне почтовых шлюзов и систем анализа трафика, позволяя группе оставаться на шаг впереди защитных механизмов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Clubfoot Wolf атакует российские компании через фишинг и LNK".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.