Эксперты сообщили о всплеске активности группы Paper Werewolf (также известной как GOFFEE), которая действует с 2022 года. За это время киберпреступники провели как минимум семь атак, нацеленных на организации из сферы госуправления, энергетики, финансов, СМИ и других. Это передаёт Securitylab.
Для осуществления атак злоумышленники используют фишинговые письма с вложениями в формате Microsoft Word. Эти документы содержат вредоносные макросы, включая которые, пользователи позволяют расшифровать вредоносное содержимое.
Примечательно, что для создания рассылок атакующие использовали фреймворк с открытым исходным кодом Gophish, предназначенный для тестирования компаний на подверженность фишингу.
Фишинговые письма часто отправляются от имени известных организаций, чтобы вызвать доверие у получателей. Однако сами эти компании не имеют отношения к атакам, а их названия используются для маскировки преступных намерений.
Paper Werewolf активно использует PowerShell для выполнения команд, избегая стандартных механизмов защиты. Также отмечено применение фреймворков постэксплуатации и собственных вредоносных программ, что затрудняет их обнаружение и противодействие.
Среди методов злоумышленников — использование вредоносных загрузчиков, маскирующихся под легитимные приложения. Эти программы могут загружать дополнительные вредоносные файлы, отвлекая внимание пользователей на фальшивые документы.
В одной из атак применялся IIS-модуль Owowa, который перехватывает учетные данные при авторизации в сервисе Outlook Web Access. Данные хранятся в оперативной памяти и могут быть удалены по команде атакующих.
Для закрепления в скомпрометированных системах используются скрытые команды и реестровые записи. Резервные каналы доступа организуются через инструменты, такие как Chisel, что позволяет атакующим поддерживать связь даже при блокировке основных методов взаимодействия.