Кибершпионская APT-группировка Sticky Werewolf пыталась сорвать новогодние праздники и атаковала несколько российских организаций в период новогодних каникул. Так, в период с 2 по 3 января злоумышленники отправили порядка 250 электронных писем на адреса телекоммуникационных компаний.
Защита предоставленная системой F.A.C.C.T., смогла перехватить и заблокировать фишинговые сообщения, отправленные по электронной почте на адреса целей от имени Федеральной Службы Безопасности.
Фишинговое сообщение с заголовком "О предоставлении информации" содержало просьбу предоставить заверенные документы и ссылку на загрузку вредоносной программы. Во время атаки злоумышленники использовали троянский удаленный доступ Darktrack RAT, который они использовали в своих предыдущих атаках.
Письмо было отправлено с бесплатного почтового сервера, что должно было насторожить получателей. Завершалась электронная почта строчкой, которая не характерна для такого серьезного ведомства - "Заранее благодарны за оперативность в предоставлении информации".
В 2022 году Sticky Werewolf уже дважды организовывала подобные атаки на российскую фармацевтическую отрасль, используя Министерство по Чрезвычайным Ситуациям и Минстрой.
Группировка Sticky Werewolf является кибершпионской группировкой, которая в период с апреля по октябрь 2022 года осуществила не менее 30 нападений на государственные учреждения и финансовые компании в России и Белоруссии. Группировка использует в качестве основного метода атаки фишинговые электронные письма со ссылками на вредоносное программное обеспечение, а также трояны удаленного доступа, такие как Darktrack RAT или Ozone RAT.
Indicators of Compromise
IPv4 Port Combinations
- 185.12.14.32:9658
URLs
- https://mail.ru-cloud.net/Zapros_115-24-6-2251_page-0001.pdf
- https://store4.gofile.io/download/direct/b1ff2622-63fd-4ba5-9d77-e22c75105744/Zapros_115-24-6-2251_page-0001.pdf.exe
- https://store7.gofile.io/download/direct/4f04bdcd-3e0d-4194-880b-ba0881d3fca4/Symlnk.exe
MD5
- 14cca4bc776a664e85490686fe463c0c
- 9dfece2bddffebd277333c33e8ac3ece
SHA1
- 44c8b5517ca7f7b6b981cae138df387aeec0d3cd
- c1a348bb77e64e30910438078e10cf880102b507
SHA256
- 17e246cb46a95ef335a287ff757a8d807ab5cc126663bce30d1ec6fd7211c996
- 211d2e18cb54691ade1002138a7273964993340dc1d8a9adddc6d9b3a1a99ef9