Mysterious Werewolf атакует российский ВПК шпионским бэкдором

Татьяна Никитина 27 Февраля 2024 - 13:32

...

Шпионы Mysterious Werewolf объявились в России в прошлом году. Вначале они использовали в атаках инструмент пентеста с открытым исходным кодом, а потом для большей скрытности стали применять бэкдор собственной разработки.

В BI.ZONE зафиксировали несколько атак кибергруппы, которую очень интересует военно-промышленный комплекс страны. Для проникновения в целевую инфраструктуру злоумышленники используют адресные рассылки и эксплойт CVE-2023-38831 для WinRAR.

Поддельные сообщения обычно распространяются от имени профильного регулятора. Вложенный архив содержит маскировочное «официальное письмо» и папку с вредоносным CMD-файлом, который автоматически исполняется при попытке открыть документ-приманку.

В результате на устройство жертвы устанавливается бэкдор RingSpy, управляемый с помощью бота Telegram. Удаленный доступ позволяет злоумышленникам выполнять команды в зараженной системе и выгружать файлы по выбору.

«В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании, — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence. — Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение. Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре».

На территории России действуют и другие «оборотни» — шпионы Core Werewolf, Sticky Werewolf, а также хактивисты Werewolves, вооруженные клоном шифровальщика LockBit.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 20 Мая 2024 - 09:10

Android Трояны Домашние пользователи

Новый Android-троян Antidot перехватывает логины и следит за жертвами

Специалисты компании Cyble предупреждают о новом банковском трояне для Android, ворующем учётные данные и переписки пользователей. Вредонос также может следить за владельцами смартфонов.

Троян, получивший имя Antidot, попался исследователям в этом месяце. Авторы маскируют его под обновление Google Play и используют технику накладывания окон для кражи данных.

Кроме того, вредоносное приложение использует различные техники, включая VNC (Virtual Network Computing), функциональность расшаривания экрана, а также открывает злоумышленникам удалённый доступ к устройству.

Antidot может записывать нажатия клавиш и активность на дисплее, перенаправлять звонки, собирать контакты и СМС-сообщения, блокировать и разблокировать девайс, отправлять USSD-запросы.

После заражении Antidot выводит фейковую страницу обновления Google Play с языковой привязкой (зловред располагает сообщениями на английском, французском, немецком, португальском, русском, румынском и испанском языках).

Троян пытается обманом заставить пользователя выдать ему права на специальные возможности операционной системы Android (Accessibility Settings). В фоновом режиме Antidot устанавливает соединение с удалённым сервером для получения команд.

Передача активности на дисплее осуществляется через VNC. Для наложения окон троян задействует WebView, выводя фишинговые HTML-страницы.