Group-IB обнаружили новую группу, которая использует якобы легитимное программное обеспечение для вмешательства в работу государственных организаций. Характерной особенностью этих злоумышленников является использование популярных инструментов, которые легко обнаружить и заблокировать. Тем не менее, это не помешало Sticky Werewolf добиться успеха. Деятельность группы прослеживается с апреля 2023 года, и к настоящему времени она совершила не менее 30 атак.
- Государственные организации в России и Беларуси остаются популярной мишенью для шпионажа.
- Для первоначального доступа удается эффективно использовать даже широко распространенную вредоносную программу типа RAT.
- Для повышения эффективности пресловутой программы противники используют такие протекторы, как Themida, что затрудняет анализ вредоносного ПО.
Indicators of Compromise
IPv4 Port Combinations
- 185.12.14.32:666
Domains
- diskonline.net
- yandeksdisk.org
SHA256
- 078859c7dee046b193786027d5267be7724758810bdbc2ac5dd6da0ebb4e26bb
- 9162ccb4816d889787a7e25ba680684afca1d7f3679c856ceedaf6bf8991e486