Кибершпионская APT-группа Sticky Werewolf попыталась испортить праздники и атаковала российские организации в новогодние каникулы. Так, 2 и 3 января они направили около 250 писем на электронную почту телекоммуникационной компании.
Система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила и заблокировала фишинговые письма, отправленные на электронные адреса цели якобы от имени Федеральной службы безопасности.
В фишинговом сообщении с темой «О предоставлении информации» была просьба предоставить заверенные копии документов «согласно запросу» и ссылка на загрузку вредоносного файла. В рамках атаки злоумышленники в очередной раз использовали троян удаленного доступа Darktrack RAT.Скриншот вредоносного письма
Как и в прошлую атаку, письмо было отправлено с бесплатного почтового сервиса, что сразу должно насторожить получателя. Заканчивался текст строчкой, не характерной для столь серьезного ведомства: «Заранее благодарны за срочность в предоставлении информации».
В декабре 2023 года Sticky Werewolf дважды атаковали похожим образом российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем.
Sticky Werewolf — кибершпионская группа, которая c апреля по октябрь 2023 г. провела не менее 30 атак на госучреждения и финкомпании в РФ и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
Индикаторы компрометации:
Zapros_115-24-6-2251_page-0001.pdf.exe
MD5: 14cca4bc776a664e85490686fe463c0c
SHA-1: 44c8b5517ca7f7b6b981cae138df387aeec0d3cd
SHA-256: 211d2e18cb54691ade1002138a7273964993340dc1d8a9adddc6d9b3a1a99ef9
Symlnk.exe
MD5: 9dfece2bddffebd277333c33e8ac3ece
SHA-1: c1a348bb77e64e30910438078e10cf880102b507
SHA-256: 17e246cb46a95ef335a287ff757a8d807ab5cc126663bce30d1ec6fd7211c996
URLs:
hxxps://mail.ru-cloud[.]net/Zapros_115-24-6-2251_page-0001.pdf
hxxps://store4.gofile[.]io/download/direct/b1ff2622-63fd-4ba5-9d77-e22c75105744/Zapros_115-24-6-2251_page-0001.pdf.exe
hxxps://store7.gofile[.]io/download/direct/4f04bdcd-3e0d-4194-880b-ba0881d3fca4/Symlnk.exe
Файлы:
%TEMP%115-24-6-2251_page-0001.pdf
%APPDATA%MicrosoftWindowsStart MenuProgramsStartupSymlnk.lnk
%APPDATA%Symlnk.exe
%APPDATA%Klog.dat
Мьютекс:
I_AM_DTdaUyZXdW
IP-адрес:
185.12.14[.]32:9658 - C2 Darktrack RAT
Источник новости: habr.com