Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

F.A.C.C.T. обнаружил новые атаки проукраинских кибершпионов Sticky Werewolf

16/01/25

ФАККТ-Jan-16-2025-12-22-41-0527-PM
 
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, сообщил об атаке APT-группировки Sticky Werewolf на российские научно-производственные предприятия, которая произошла после новогодних праздников. На этот раз кибершпионы отправили фейковые фишинговые письма от имени Минпромторга России. Одно из таких писем вечером 13 января перехватило и заблокировало решение по выявлению сложных киберугроз F.A.C.C.T. Managed XDR. Специалисты Центра кибербезопасности F.A.C.C.T. провели его анализ.
 
Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения, НИИ и промышленные предприятия из сферы военно-промышленного комплекса России. Отмечались также атаки в Беларуси и Польше. В качестве первоначального вектора атак Sticky Werewolf проводят фишинговые рассылки по электронной почте с вредоносными вложениями, в которых часто встречаются таĸие инструменты, ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).
 
Злоумышленники из Sticky Werewolf отправили вредоносные письма, в которых содержалось поручение проработать вопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы с привлечением осужденных.
В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. На то, что документ «липовый», указывает, среди прочего, несоответствие должности Дениса Мантурова (с мая 2024 года он уже не глава Минпромторга) и разные даты принятия «решения», о которых говорится в январской и декабрьской рассылках.
 
Ð Ð ̧Ñ ÑƒÐ1⁄2Ð3⁄4Ðo
 
Первое вложение содержало фальшивый документ-приманку «Письмо_в_организации_по_привлечению_осужденных.docx».
Второе вложение содержало запароленный архив. Внутри архива находился документ «список рассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe».
 
При запуске происходит доставка трояна удаленного доступа Ozone RAT, предназначенного для предоставления скрытого удаленного доступа к скомпрометированному устройству.
 
В ходе дополнительного исследования специалисты F.A.C.C.T. обнаружили фишинговое письмо от 23 декабря 2024 года с аналогичной темой, в котором содержалось два фейковых документа «Письмо_в_организации_по_привлечению_осужденных.docx» и «список рассылки.docx».
 
Злоумышленники также атаковали научно-производственное предприятие, однако в письме отсутствовал архив с полезной нагрузкой внутри.
 
Напомним, что в декабре 2023 года Sticky Werewolf дважды атаковали российскую фарму, прикрываясь МЧС и Минстроем, а в январе 2024 года отправляли фейковые письма якобы от ФСБ.
Более подробная информация, индикаторы компрометации - в блоге F.A.C.C.T. - https://habr.com/ru/companies/f_a_c_c_t/news/873762/ 
Темы:Пресс-релизУгрозыкибершпионажгосударственные хакерыF.A.C.C.T.
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • XDR-центричный подход для SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
  • Attack Surface Management: с чего начинать управление уязвимостями
    Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
    Attack Surface Management – относительно молодой продукт, он появился в 2021 г. В его основе лежит более ранняя разработка инженеров F.A.C.C.T. – граф сетевой инфраструктуры, который показывает связь между доменами, IP-адресами, сервер-сертификатами, злоумышленниками, ВПО и другими цифровыми сущностями в глобальном Интернете.
  • Cyber Defence Center: лучше и эффективнее традиционных SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты и ведут проактивный поиск киберугроз в инфраструктуре
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...