23/04/24
Группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake – вредоносное ПО для кражи данных. Но вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба.
Группировка Scaly Wolf, ранее неоднократно атаковавшая организации России и Беларуси, снова активизировалась в конце марта 2024 года. Злоумышленники провели с разных email-адресов не менее 6 фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и т. д.
Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP-архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
Злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке. Вместо ВПО White Snake в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели: не получали доступ к чувствительным данным и скомпрометированной системе.
В ходе неудавшейся кампании Scaly Wolf использовали последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год — за 800 вместо 1100, бессрочно — за 1000 вместо 1950.
Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования BI.ZONE о применении White Snake в атаках на российские компании. Вероятнее всего, подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.
Чтобы выявить методы закрепления на конечных точках IT-инфраструктуры, которые применяет Scaly Wolf, необходимо использовать решения класса endpoint detection and response. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляют платформы Threat Intelligence.
