Эксперты Threat Intelligence компании F.A.C.C.T. обнаружили новые атаки кибершпионской группы Sticky Werewolf. Одно из писем, перехваченных системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR, было отправлено от имени Минстроя России.
В сообщении говорится о якобы изменениях в приказе Министра обороны №80 от 2020 года об оснащении объектов техническими средствами охраны.
Судя по заголовкам письма, еще одной вероятной целью атакующих должен был стать российский научно-исследовательский институт, занимающийся проблемами микробиологии, в том числе разработкой вакцин.
Sticky Werewolf — кибершпионская группа, которая, по данным компании «Бизон», начиная с апреля по октябрь 2023 года провела не менее 30 атак на государственные учреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а в качестве полезной нагрузки такие инструменты, как трояны удаленного доступа NetWire RAT и Ozone RAT, а также стилер MetaStealer / RedLine Stealer.
Атака от 4 декабря
В теле фишингового письма содержится ссылка на загрузку вредоносного файла hxxps://online-cloud[.]info/prikaz_80_new.pdf. При переходе по ссылке происходит переадресация на другой ресурс hxxps://store5.gofile[.]io/download/direct/0730c9fd-966f-4c1e-9035-2b837cf81be7/prikaz_80_new.%D1%80df.exe и загружается исполняемый файл prikaz_80_new.pdf.exe.
Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.
Файл prikaz_80_new.pdf.exe представляет собой самораспаковывающийся архив, подготовленный в NSIS Installer. prikaz_80_new.pdf.exe содержит файл-приманку prikaz_80_new.pdf и исполняемый файл Symlink.exe, накрытый протектором Themida.
