Фахівці з кібербезпеки зафіксували активізацію APT-угруповання Scaly Wolf, яке у червні 2025 року здійснило складну багатовекторну кібератаку на російське машинобудівне підприємство. Атакувальники використали оновлений модульний бекдор Updatar з унікальною системою приховування коду, що свідчить про значну еволюцію їхніх тактик.
Трансформація методів APT-угруповання
Нова кампання стала логічним продовженням діяльності Scaly Wolf, розпочатої у 2023 році проти підприємств машинобудівного сектору. Однак поточні атаки демонструють кардинальні зміни в підході зловмисників. Група відмовилася від використання MaaS-троянів (Malware-as-a-Service) на користь власноруч розробленого модульного бекдора та стандартних інструментів постексплуатації.
Така еволюція тактик свідчить про зростання технічних можливостей угруповання та прагнення до створення менш детектованого шкідливого програмного забезпечення.
Фішингова кампанія як вектор початкової компрометації
Атака розпочалася у травні 2025 року з масштабної фішингової розсилки фінансових документів. Кіберзловмисники застосували методи соціальної інженерії, надсилаючи PDF-приманки з інформацією про нібито отримані фінансові документи у захищеному ZIP-архіві.
Особливу небезпеку становила техніка маскування виконуваних файлів під PDF-документи. Хакери використовували подвійне розширення (наприклад, “Акт_звірки.pdf.exe”), експлуатуючи особливість Windows за замовчуванням приховувати розширення файлів. Потенційні жертви бачили лише перше розширення “.pdf” і сприймали файл як безпечний документ.
Технічний аналіз бекдора Updatar
Центральним елементом атаки став троян Trojan.Updatar.1 – завантажувач для розгортання модульного бекдора. Хоча перші зразки цієї загрози були виявлені рік тому, повний аналіз став можливим лише зараз, оскільки додаткові модулі завантажувалися вручну операторами з керуючого сервера.
Система обфускації RockYou: інноваційний підхід до приховування коду
Нова версія Trojan.Updatar.1 отримала унікальний захист від аналізу під назвою RockYou Obfuscation. Система використовує відомий словник паролів RockYou.txt, що містить понад 30 мільйонів записів, для створення помилкових операцій, які ускладнюють реверс-інжиніринг. Критично важливі рядки кодуються за допомогою операції XOR та зміщення з унікальним ключем для кожного зразка.
Хронологія багатоетапної атаки
Компрометація розвивалася за чітко спланованим сценарієм. 12 травня 2025 року відбулося зараження першого комп’ютера, а вже через годину троян завантажив компоненти Trojan.Updatar.2 та Trojan.Updatar.3. До 14 травня атакувальники розгорнули утиліту Meterpreter з фреймворка Metasploit через службу BITS.
Для крадіжки облікових даних хакери використали утиліту Tool.HandleKatz, яка виконує дамп процесу LSASS. Отримані креденціали дозволили їм встановити RDP Wrapper для зручного віддаленого доступу та утиліти тунелювання трафіку Tool.Chisel і Tool.Frp.
Латеральне переміщення та протидія захисту
Компрометація другого та третього комп’ютерів продемонструвала високий рівень адаптивності угруповання. Зіткнувшись з блокуванням антивірусного програмного забезпечення, зловмисники переходили до ручного встановлення модулів та альтернативних методів закріплення в системі.
На третьому комп’ютері атакувальники використали скомпрометовані RDP-облікові дані та намагалися обійти захист за допомогою багаторівневих PowerShell-скриптів з base64-кодуванням. Після блокування вони перейшли до використання інструменту RemCom та спроб ідентифікації встановленого антивірусного ПЗ.
Цей інцидент підкреслює критичну важливість багаторівневого захисту корпоративних мереж. Організаціям варто посилити контроль електронної пошти, впровадити EDR-рішення для виявлення аномальної активності та регулярно проводити аудит безпеки RDP-підключень. Особливої уваги потребує навчання співробітників розпізнаванню фішингових атак з використанням подвійних розширень файлів та постійне оновлення систем захисту для протидії еволюціонуючим APT-загрозам.
