Эксперты по кибербезопасности компании FACCT выявили новую волну целенаправленных атак на российские научно-производственные предприятия. APT-группировка Sticky Werewolf (также известная как PhaseShifters) использует сложную схему фишинга, маскируясь под представителей Министерства промышленности и торговли РФ.
Анатомия фишинговой атаки
13 января 2025 года специалисты перехватили вредоносное письмо, содержащее поддельное поручение якобы от Минпромторга. Документ касался размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы. Злоумышленники допустили ряд критических ошибок в легенде, включая несоответствие должности бывшего министра Дениса Мантурова и противоречивые даты в различных версиях рассылки.
Технический анализ вредоносного ПО
Фишинговое письмо содержало архив «Форма заполнения.rar», защищенный паролем «2025». Внутри находились файл «список рассылки.docx» и замаскированный исполняемый файл «Форма заполнения.pdf.exe». При активации вредоносного ПО на компьютер жертвы устанавливался троян удаленного доступа Ozone RAT, предоставляющий атакующим скрытый доступ к зараженной системе.
Предыдущие атаки и инструменты злоумышленников
В ходе расследования обнаружена аналогичная попытка атаки от 23 декабря 2024 года. Sticky Werewolf активно использует различные вредоносные инструменты, включая трояны Darktrack RAT и Ozone RAT, а также стилеры Glory Stealer и MetaStealer (модификация RedLine). Основной целью группировки являются государственные учреждения, научно-исследовательские институты и предприятия военно-промышленного комплекса России, Беларуси и Польши.
Данная кампания демонстрирует растущую изощренность кибератак на критическую инфраструктуру. Для защиты от подобных угроз организациям рекомендуется усилить проверку входящей корреспонденции, проводить регулярное обучение сотрудников по вопросам информационной безопасности и использовать современные средства защиты от целенаправленных атак.
