Группировка Core Werewolf (также известная как PseudoGamaredon) продолжает совершенствовать свои методы кибершпионажа, нацеленные на российский оборонно-промышленный комплекс (ОПК) и объекты критической информационной инфраструктуры (КИИ). Эксперты по кибербезопасности отмечают значительное усложнение тактик атак, применяемых хакерами с сентября 2023 года.
Новый инструментарий: загрузчик на AutoIt
Ключевым нововведением в арсенале Core Werewolf стал специально разработанный загрузчик, написанный на языке программирования AutoIt. Этот инструмент призван повысить эффективность проникновения в целевые системы и затруднить обнаружение вредоносной активности. Выбор AutoIt не случаен: этот язык широко используется для создания легитимных скриптов автоматизации, что потенциально может помочь злоумышленникам обойти некоторые системы защиты.
Эволюция методов доставки вредоносного ПО
Исследователи из компании BI.ZONE выявили несколько новых векторов атак, используемых группировкой:
1. Усовершенствованные фишинговые кампании
Злоумышленники рассылают электронные письма со ссылками на RAR-архивы, содержащие самораспаковывающиеся файлы (SFX). В состав этих архивов входят:
- Вредоносный скрипт
- Легитимный интерпретатор AutoIt
- PDF-документ для отвлечения внимания
При открытии архива содержимое извлекается во временную папку, после чего запускается загрузчик, устанавливающий вредоносное ПО на устройство жертвы.
2. Использование мессенджеров
С июня 2023 года Core Werewolf начала активно экспериментировать с новыми каналами доставки вредоносных файлов. Помимо традиционной электронной почты, хакеры теперь используют популярные мессенджеры, особенно Telegram, для распространения вредоносных программ.
Цели и история атак Core Werewolf
Группировка Core Werewolf активно атакует российский ОПК и организации КИИ с 2021 года. Одной из наиболее заметных операций стала попытка проникновения в системы 102-й российской военной базы в апреле 2023 года. Эксперты подчеркивают, что основной целью хакеров остается промышленный шпионаж и получение доступа к конфиденциальной информации оборонного значения.
Анализ тактики Core Werewolf
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, комментирует: «Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы. Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов, что средства защиты не смогут его распознать».
Эксперты отмечают, что постоянное совершенствование методов атак Core Werewolf представляет серьезную угрозу для российского ОПК и требует повышенного внимания со стороны специалистов по кибербезопасности. Организациям рекомендуется усилить меры защиты, проводить регулярные обучения сотрудников по вопросам информационной безопасности и внедрять современные системы обнаружения и предотвращения вторжений.