Sticky Werewolf шпионит в российском авиапроме
Главная » Новости

Sticky Werewolf шпионит в российском авиапроме

Татьяна Никитина 10 Июня 2024 - 17:03
...
Sticky Werewolf шпионит в российском авиапроме

В Morphisec зафиксировали новый всплеск активности APT-группы Sticky Werewolf на территории России. Адресные рассылки нацелены на кражу секретов авиационной промышленности и вместо вредоносных ссылок используют вложения.

Поддельные имейл-сообщения написаны от имени заместителя гендиректора ОКБ «Кристалл» — конструкторского бюро, занимающегося разработкой и производством агрегатов для самолетов, в том числе военного назначения.

Приаттаченный архив содержит маскировочный PDF-документ и два файла с двойным расширением .docx.lnk (якобы повестка совещания и список рассылки), указывающие на экзешник на внешнем сервере WebDAV.

 

При активации один LNK отображает фейковое сообщение об ошибке (ошибка при открытии документа, файл поврежден) и создает ключ реестра для запуска WINWORD.exe из сторонней сетевой папки совместного пользования при каждом входе в систему. Второй LNK выполняет команду на запуск WINWORD.exe.

Анализ показал, что этот исполняемый файл представляет собой самораспаковывающийся архив NSIS — вариант хорошо известного упаковщика CypherIT, ранее широко использовавшегося для загрузки зловредов. Содержимое помещается в папку временных файлов $INTERNET_CACHE, затем инсталлятор запускает один из файлов — обфусцированный batch-скрипт.

Этот компонент пытается обезвредить антивирусы (Norton, Sophos, AVG, Webroot): притормаживает процессы, переименовывает файлы. Батник также выполняет конкатенацию, чтобы получить AutoIT-экзешник и соответствующий скрипт.

Последний ищет артефакты, говорящие об использовании эмулятора (BitDefender, Kaspersky, AVG, Microsoft Defender), и закрепляется в системе — создает запланированное задание или прописывается на автозапуск. Подготовив почву, он расшифровывает финальный пейлоад и загружает его в память легитимного AutoIT по методу process hollowing.

В качестве целевой полезной нагрузки может выступать инфостилер Rhadamanthys или троян Ozone RAT..

 

APT-группа Sticky Werewolf, по данным экспертов, объявилась в интернете в апреле 2023 года. Атаки проводятся в основном в России и Белоруссии, их целью является шпионаж.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

R-Vision раскрыла данные о покрытии базы уязвимостей в R-Vision VM
Екатерина Быстрова 30 Июля 2025 - 13:01
R-Vision VM Корпорации Средства управления информационной безопасностьюVulnerability Management (управление уязвимостями) R-Vision
R-Vision раскрыла данные о покрытии базы уязвимостей в R-Vision VM

Компания R-Vision сделала открытым новый раздел на портале документации, где теперь можно посмотреть, как устроена и развивается собственная база уязвимостей, используемая в системе управления уязвимостями R-Vision VM.

Теперь пользователи и заказчики могут напрямую оценить, какие технологии поддерживаются, насколько полно покрытие, как часто база обновляется и какие изменения в неё вносились.

Это может пригодиться тем, кто хочет сопоставить возможности системы со своим ИТ-ландшафтом и понять, подходит ли им такое решение.

В разделе собрана информация о поддерживаемых ОС, СУБД, сетевом оборудовании и софте. Всё это поделено на три режима работы системы:

  • поиск уязвимостей (режим «белого ящика»),
  • тестирование на проникновение («чёрный ящик»),
  • проверка стандартов (технический комплаенс).

Для каждого режима указаны системы, с которыми он работает, и дополнительные данные — например, статусы поддержки и рекомендации по обновлению компонентов.

Также публикуется история изменений базы: какие технологии добавлены, что доработано или исправлено. При желании можно подать запрос на добавление новой системы — такие обращения, как утверждает компания, учитываются в дальнейшей работе.

Как устроено обновление и верификация

Базу наполняет команда из нескольких десятков специалистов. Источников больше трёхсот — от NVD и БДУ ФСТЭК до внутренних отчётов и бюллетеней вендоров. Обновления происходят раз в сутки, а перед попаданием в продуктив данные проходят проверку на тестовых стендах.

Кроме стандартной информации об уязвимостях, в базе есть:

  • рекомендации по снижению рисков,
  • описание на русском языке,
  • вероятность эксплуатации (EPSS),
  • данные о наличии эксплойтов,
  • принадлежность уязвимости к списку CISA KEV,
  • и информация о завершении поддержки уязвимого ПО.

Ещё один важный момент — учёт специфики российских систем и дистрибутивов, что особенно актуально для заказчиков с локальной инфраструктурой.

Открытие доступа к этим данным делает работу с R-Vision VM более прозрачной и может помочь командам ИБ точнее понимать возможности инструмента, не дожидаясь общения с техподдержкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Троян ZuRu вернулся, приняв облик macOS-приложения Termius
Новость
Троян ZuRu вернулся, приняв облик macOS-приложения Termius
Аккаунты блогеров крадут через оскорбительные комментарии
Новость
Аккаунты блогеров крадут через оскорбительные комментарии
Конгресс США запретил WhatsApp: слишком много вопросов к безопасности
Новость
Конгресс США запретил WhatsApp: слишком много вопросов к без...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.