BI.ZONE зафиксировала атаки Core Werewolf на российский оборонно-промышленный комплекс и объекты критической инфраструктуры (КИИ). Для проникновения в организации используются целевые рассылки и UltraVNC.
Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
Indicators of Compromise
Domains
- autotimesvc.com
- bitsbfree.com
- checkerserviceonline.com
- checkerserviceonline.net
- clodmail.ru
- contileservices.net
- cortanaupdater.com
- cortanaupdater.net
- exactsynchtime.ru
- getvalerianllc.com
- licensecheckout.com
- licensecheckout.net
- linux-techworld.com
- linux-tech-world.com
- linux-tech-world.net
- microsoftdownloader.com
- microsoftdownloaderonline.com
- microsoftdownloadonline.com
- microsoftsupertech.com
- microsofttechinfo.com
- moscowguarante.com
- msk-gov.com
- passportyandex.net
- samssmgr.com
- savebrowsing.net
- seemsurprise.com
- sensauto.info
- servicehost-update.net
- softdownloaderonline.com
- softdownloaderonline.net
- softsandtools.com
- statusgeotrust.com
- tapiservicemgr.com
- uploadeonline.com
- uploaderonline.com
- uploadingonline.com
- versusmain.com
- webengincs.com
- webupdateronline.com
- webupdateronline.net
- win32soft.com
- winupdateonline.com
- winupdateronline.com
- winuptodate.com