Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Core Werewolf ведёт кибершпионскую кампанию против военных учреждений в Беларуси и России

07/05/25

hack81-2

Группа ведёт операции с 2021 года, фокусируясь на организациях, связанных с оборонной промышленностью и критической инфраструктурой. В рамках своих кампаний злоумышленники применяют инструменты удалённого доступа, включая UltraVNC и MeshCentral.

В архиве находился исполняемый файл с длинным названием «Списки на уточнение вс представляемых к награждению гос награды.exe», выполнявший роль дроппера, пишет Securitylab. После запуска он разворачивает содержимое во временной директории, параллельно отображая PDF-документ-приманку «Списки на уточнение вс представляемых к награждению гос награды.pdf» и инициируя выполнение CMD-скрипта, запускающего дальнейшую вредоносную цепочку.

Первым в цепочке исполняется crawl.cmd — он извлекает вспомогательные файлы из уже распакованного архива и передаёт управление скрипту kingdom.bat. Тот формирует файл настроек ultravnc.ini с жёстко заданным паролем, включённой функцией передачи файлов, возможностью подключения без запроса, а также разрешением на удалённое управление. Затем запускается mosque.bat, который завершает активные процессы UltraVNC, устанавливает соединение с C2-адресом stroikom-vl[.]ru и запускает клиент UltraVNC, маскируемый под исполняемый файл Sysgry.exe.

Подобные «наградные» файлы-приманки уже встречались в предыдущих атаках Core Werewolf, наряду с документами, содержащими координаты военных объектов и другими аналогичными материалами.

Дополнительный образец, связанный с этой группой, был выявлен специалистами F6 17 апреля 2025 года. На сервис VirusTotal был загружен исполняемый файл undoubtedly.exe, предположительно использовавшийся в атаках на российские военные структуры. После запуска дроппер извлекал PDF-документ «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf», содержащий военную информацию, а также скрипт conscience.cmd.

Далее запускались скрипты exception.bat и divine.bat, инициируя аналогичную последовательность действий. Проверялось соединение с C2-узлом ubzor[.]ru, после чего запускался всё тот же UltraVNC, открывающий злоумышленникам удалённый доступ к заражённому устройству.

Темы:ПреступленияБелоруссияэлектронная почтавоенная тайнаF6
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Щедрость владельцев инфраструктуры не победить! Часть 4
    Вадим Алексеев, руководитель департамента расследований высокотехнологичных преступлений компании F6
    Все эти ситуации могут показаться забавными — и действительно вызывают улыбку. Но за каждой из них стоит реальный опыт, зачастую с не самыми приятными последствиями: простоями, потерями данных, репутационными ударами.
  • Секреты опасных писем
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Электронная почта остается основной целью атак, а безопасность должна быть комплексной – об этом в преддверии нового года мы побеседовали с Юрием Ивановым, кандидатом технических наук, техническим директором компании “АВ Софт”, руководителем направления машинного обучения.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...