Sticky Werewolf шпионит в российском авиапроме
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Sticky Werewolf шпионит в российском авиапроме

Татьяна Никитина 10 Июня 2024 - 17:03
...
Sticky Werewolf шпионит в российском авиапроме

В Morphisec зафиксировали новый всплеск активности APT-группы Sticky Werewolf на территории России. Адресные рассылки нацелены на кражу секретов авиационной промышленности и вместо вредоносных ссылок используют вложения.

Поддельные имейл-сообщения написаны от имени заместителя гендиректора ОКБ «Кристалл» — конструкторского бюро, занимающегося разработкой и производством агрегатов для самолетов, в том числе военного назначения.

Приаттаченный архив содержит маскировочный PDF-документ и два файла с двойным расширением .docx.lnk (якобы повестка совещания и список рассылки), указывающие на экзешник на внешнем сервере WebDAV.

 

При активации один LNK отображает фейковое сообщение об ошибке (ошибка при открытии документа, файл поврежден) и создает ключ реестра для запуска WINWORD.exe из сторонней сетевой папки совместного пользования при каждом входе в систему. Второй LNK выполняет команду на запуск WINWORD.exe.

Анализ показал, что этот исполняемый файл представляет собой самораспаковывающийся архив NSIS — вариант хорошо известного упаковщика CypherIT, ранее широко использовавшегося для загрузки зловредов. Содержимое помещается в папку временных файлов $INTERNET_CACHE, затем инсталлятор запускает один из файлов — обфусцированный batch-скрипт.

Этот компонент пытается обезвредить антивирусы (Norton, Sophos, AVG, Webroot): притормаживает процессы, переименовывает файлы. Батник также выполняет конкатенацию, чтобы получить AutoIT-экзешник и соответствующий скрипт.

Последний ищет артефакты, говорящие об использовании эмулятора (BitDefender, Kaspersky, AVG, Microsoft Defender), и закрепляется в системе — создает запланированное задание или прописывается на автозапуск. Подготовив почву, он расшифровывает финальный пейлоад и загружает его в память легитимного AutoIT по методу process hollowing.

В качестве целевой полезной нагрузки может выступать инфостилер Rhadamanthys или троян Ozone RAT..

 

APT-группа Sticky Werewolf, по данным экспертов, объявилась в интернете в апреле 2023 года. Атаки проводятся в основном в России и Белоруссии, их целью является шпионаж.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Авито и BI.ZONE ускорили блокировку фишинговых сайтов на четверть
Екатерина Быстрова 02 Октября 2025 - 20:29
Корпорации Антифишинг BI.ZONE
Авито и BI.ZONE ускорили блокировку фишинговых сайтов на четверть

«Авито» совместно с BI.ZONE Brand Protection сообщают об улучшении механизмов борьбы с фишинговыми сайтами и другими схемами, направленными против пользователей платформы. За последние пять лет компании сократили количество подобных ресурсов на 85% и ускорили их блокировку примерно на четверть.

Что делают совместные команды:

  • выявляют и блокируют фишинговые сайты;
  • мониторят мошеннические схемы на теневых ресурсах;
  • контролируют сохранность персональных данных клиентов и сотрудников;
  • отслеживают утечки токенов и секретов на открытых dev-платформах;
  • противостоят атакам с использованием зловредов.

По данным компаний, в последние годы был улучшен процесс проверки доменов и алгоритмы поиска нелегитимной активности. Это позволило быстрее находить и блокировать ресурсы, созданные злоумышленниками для обмана пользователей.

В «Авито» отмечают, что главной целью остаётся повышение безопасности сервиса, а в BI.ZONE подчёркивают, что мошенники активно используют социальную инженерию и постоянно меняют подходы. Поэтому методы детекции и блокировки приходится регулярно адаптировать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Баскетболисту Касаткину суд отказал в освобождении из-под стражи
Новость
Баскетболисту Касаткину суд отказал в освобождении из-под ст...
Еще одна турецкая авиакомпания ограничила провоз пауэрбанков
Новость
Еще одна турецкая авиакомпания ограничила провоз пауэрбанков
Хакеры проникли в Управление ядерной безопасности США
Новость
Хакеры проникли в Управление ядерной безопасности США

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.