Эксперты по кибербезопасности зафиксировали возвращение известной APT-группировки Scaly Wolf с обновленным арсеналом вредоносного ПО. В июне 2025 года хакеры провели сложную многовекторную атаку на российское машиностроительное предприятие, используя модульный бэкдор Updatar с уникальной системой обфускации.
Эволюция тактик группировки Scaly Wolf
Данная атака стала продолжением кампании, начатой злоумышленниками еще в 2023 году против аналогичных целей в машиностроительном секторе. Однако новое наступление продемонстрировало значительную эволюцию методов и инструментов группировки. Атакующие отказались от использования MaaS-троянов (Malware-as-a-Service) в пользу собственного модульного бэкдора и стандартных средств постэксплуатации.
Фишинговая кампания как точка входа
Атака началась в мае 2025 года с массированной фишинговой рассылки финансовых документов. Злоумышленники использовали социальную инженерию, отправляя PDF-приманки с информацией о якобы поступивших финансовых документах в защищенном ZIP-архиве.
Особую опасность представляла техника маскировки исполняемых файлов под документы PDF. Хакеры использовали двойное расширение (например, «Акт Сверки.pdf.exe»), эксплуатируя особенность Windows по умолчанию скрывать расширения файлов. Потенциальные жертвы видели только первое расширение «.pdf» и воспринимали файл как безопасный документ.
Технический анализ бэкдора Updatar
Центральным элементом атаки стал троян Trojan.Updatar.1 — загрузчик для развертывания модульного бэкдора. Несмотря на то, что первые образцы этой угрозы были обнаружены год назад, полный анализ стал возможен только сейчас, поскольку дополнительные модули загружались вручную операторами с управляющего сервера.
Инновационная система обфускации RockYou
Новая версия Trojan.Updatar.1 получила уникальную защиту от анализа, названную RockYou Obfuscation. Система использует знаменитый словарь паролей RockYou.txt, содержащий более 30 миллионов записей, для создания ложных операций, затрудняющих реверс-инжиниринг. При этом критически важные строки кодируются с помощью операции XOR и смещения с уникальным ключом для каждого образца.
Хронология многоэтапной атаки
Компрометация развивалась по четко спланированному сценарию. 12 мая 2025 года произошло заражение первого компьютера, а уже через час троян загрузил компоненты Trojan.Updatar.2 и Trojan.Updatar.3. К 14 мая атакующие развернули утилиту Meterpreter из фреймворка Metasploit через службу BITS.
Для кражи учетных данных хакеры использовали утилиту Tool.HandleKatz, выполняющую дамп процесса LSASS. Полученные креденциалы позволили им установить RDP Wrapper для удобного удаленного доступа и утилиты туннелирования трафика Tool.Chisel и Tool.Frp.
Латеральное движение и противодействие защите
Компрометация второго и третьего компьютеров продемонстрировала высокий уровень адаптивности группировки. Столкнувшись с блокировкой антивирусного ПО, злоумышленники переходили к ручной установке модулей и альтернативным методам закрепления в системе.
На третьем компьютере атакующие использовали скомпрометированные RDP-учетные данные и пытались обойти защиту с помощью многоуровневых PowerShell-скриптов с base64-кодированием. После блокировки они перешли к использованию инструмента RemCom и попыткам идентификации установленного антивирусного ПО.
Рекомендации по защите от APT-угроз
Данный инцидент подчеркивает критическую важность многоуровневой защиты корпоративных сетей. Организациям следует усилить контроль электронной почты, внедрить EDR-решения для обнаружения аномальной активности и регулярно проводить аудит безопасности RDP-подключений. Особое внимание требует обучение сотрудников распознаванию фишинговых атак с использованием двойных расширений файлов.
