Фахівці з кібербезпеки компанії FACCT виявили масштабну кампанію цільових атак на науково-виробничі підприємства. Зловмисники з APT-групи Sticky Werewolf (також відома як PhaseShifters) реалізують витончену фішингову схему, використовуючи підроблені документи від імені Міністерства промисловості та торгівлі.
Механізм проведення фішингової атаки
13 січня 2025 року експерти зафіксували розсилку шкідливих електронних листів із фальшивим дорученням, нібито від Мінпромторгу. Документ стосувався розміщення замовлень оборонно-промислових підприємств у закладах пенітенціарної системи. Аналіз виявив критичні помилки в легендуванні – невідповідність посади колишнього міністра Дениса Мантурова та суперечливі дати в різних версіях розсилки.
Технічні особливості шкідливого програмного забезпечення
Фішинговий лист містив архів “Форма заполнения.rar” із паролем “2025”. У архіві знаходились файл “список рассылки.docx” та замаскований виконуваний файл “Форма заполнения.pdf.exe”. При запуску шкідливого ПЗ на комп’ютер жертви встановлювався троян віддаленого доступу Ozone RAT, який надавав зловмисникам прихований контроль над інфікованою системою.
Історія атак та інструментарій зловмисників
Розслідування виявило попередню спробу атаки 23 грудня 2024 року. В арсеналі Sticky Werewolf присутні різноманітні шкідливі інструменти: трояни Darktrack RAT і Ozone RAT, а також викрадачі даних Glory Stealer та MetaStealer (модифікація RedLine). Група націлена на державні установи, науково-дослідні інститути та підприємства військово-промислового комплексу в Україні, Білорусі та Польщі.
Для захисту від подібних загроз організаціям рекомендується впровадити багаторівневу систему безпеки, що включає: регулярний аудит вхідної кореспонденції, навчання персоналу з питань кібергігієни, використання сучасних засобів виявлення та запобігання цільовим атакам, а також постійний моніторинг мережевої активності. Особливу увагу слід приділити перевірці цифрових підписів документів та верифікації відправників офіційної кореспонденції.