Хакери атакували російський ВПК і вкрали цінні файли: побачили витік не відразу
Хакерське угруповання Mysterious Werewolf, що діє з 2023 року, почало використовувати власні програми для атак на російський військово-промисловий комплекс (ВПК). Це з'ясувала російська компанія з управління цифровими ризиками Bi. Zone, передає Gaming deputy. За словами Олега Скулкіна з Bi.
Zone, угрупованню Mysterious Werwolf вдалося інтегрувати у свою шкідливу програму легальні сервіси. Це, на його думку, ускладнило виявлення атаки — тривалий час ніхто не підозрював, що системи російських компаній скомпрометовано.
Деякий час тому стало відомо про те, що Mysterious Werewolf атакувала кількох російських постачальників напівпровідників. А нещодавно вдалося з'ясувати, що хакери з цієї групи причетні до атаки на російських виробників, які працюють у сфері ВПК.
Зловмисники видавали себе за Міністерство промисловості і торгівлі РФ, розсилаючи фішингові листи, що містили архів Pismo_izveshcanie_2023_10_16. rar, який експлуатував уразливість CVE-2023-38831 у WinRAR, виявлену ще влітку минулого року.
В архіві містився PDF-документ, а також папка зі шкідливим CMD-файлом. Після відкриття архіву і натискання на документ експлойт запускав CMD-файл. Відповідно, WinRAR. exe запускав cmd. exe для активації шкідливого файлу CMD, який потім виконував скрипт PowerShell.
На думку дослідників у сфері кібербезпеки, скрипт виконував такі дії: Цікавою особливістю атаки стало те, що хакери Mysterious Werwolf не просто використовували кросплатформений фреймворк для спільної роботи пентестерів Mythic C2, який дає змогу виконувати різноманітні дії, взаємодіяти з файловою системою скомпрометованої машини, завантажувати й скачувати файли, виконувати команди та скрипти, сканувати мережу тощо.
Вони поєднували фреймворк із власним шкідливим ПЗ. Так, на пристрої жертв було встановлено оригінальний бекдор RingSpy, призначений для віддаленого доступу, що дає змогу зловмисникам виконувати команди всередині скомпрометованої системи і, як наслідок, красти файли.