Експерти з кібербезпеки б’ють на сполох: хакерське угруповання Core Werewolf (також відоме як PseudoGamaredon) продовжує вдосконалювати свої методи атак на оборонно-промисловий комплекс та об’єкти критичної інфраструктури Росії. Починаючи з вересня 2024 року, зловмисники почали використовувати новий інструмент власної розробки – завантажувач, написаний на популярній мові програмування AutoIt.
Історія та цілі Core Werewolf
За даними дослідників BI.ZONE, угруповання Core Werewolf активно атакує російський оборонно-промисловий комплекс та організації критичної інформаційної інфраструктури з 2021 року. Зокрема, у квітні цього року стало відомо про атаку Core Werewolf, ймовірною метою якої була 102-а російська військова база. Це свідчить про стратегічну спрямованість атак групи на військові та оборонні об’єкти.
Нові тактики та інструменти
В останніх кампаніях хакери почали використовувати новий завантажувач, написаний на мові AutoIt. Цей крок спрямований на те, щоб довше залишатися непоміченими в ІТ-інфраструктурі жертви. Крім того, зловмисники розширили канали розповсюдження шкідливих файлів, додавши до електронної пошти месенджер Telegram.
Механізм атаки
Експерти описують наступний механізм атаки:
- Розсилка фішингових листів зі посиланнями на RAR-архіви
- Архіви містять самовидобувні файли (SFX) зі шкідливим скриптом, легітимним інтерпретатором та PDF-документом для відволікання уваги
- При відкритті архіву вміст SFX-файлу розпаковується в тимчасову папку (TEMP)
- Завантажувач запускається за допомогою інтерпретатора AutoIt
- Шкідливе ПЗ встановлюється на скомпрометований пристрій
Еволюція методів доставки
З червня поточного року хакери почали експериментувати з новими способами доставки шкідливих файлів. Тепер, окрім електронної пошти, вони активно використовують месенджери, особливо Telegram, для комунікації з потенційними жертвами. Це розширює вектори атаки та ускладнює виявлення зловмисної активності.
Експертна оцінка
Олег Скулкін, керівник BI.ZONE Threat Intelligence, коментує ситуацію: “Рівень виявлення використовуваних інструментів постійно зростає. У зв’язку з цим злочинці вносять зміни до свого арсеналу, сподіваючись, що це дозволить їм довше залишатися непоміченими в ІТ-інфраструктурі жертви. Чим рідше інструмент використовується в атаках, тим більше у зловмисників шансів, що засоби захисту не зможуть його розпізнати”.
Ця тенденція підкреслює важливість постійного оновлення систем кібербезпеки та проведення регулярних тренінгів для персоналу щодо виявлення фішингових атак. Організаціям, особливо в оборонному секторі та критичній інфраструктурі, рекомендується посилити моніторинг мережевої активності, впровадити багатофакторну автентифікацію та регулярно оновлювати програмне забезпечення для захисту від нових загроз.
