Главная страница » Индикаторы компрометации
0
28 минут
Индикаторы компрометации

Arcane Werewolf обновляет арсенал: новая волна атак на российскую промышленность

APT

Специалисты группы киберразведки BI.ZONE Threat Intelligence в октябре и ноябре 2025 года зафиксировали новую серию целевых атак на российские промышленные компании. Активность исходит от кластера Arcane Werewolf, также известного под именем Mythic Likho. Расследование показало, что группировка не только продолжает свои кампании, но и активно развивает вредоносные инструменты, представив обновленную версию своего импланта Loki. Анализ ретроспективных данных позволяет с высокой долей вероятности утверждать, что для первоначального проникновения в инфраструктуру жертв злоумышленники вновь использовали фишинговые рассылки, хотя сами письма получить не удалось.

Описание

По мнению экспертов, вероятным сценарием было размещение в фишинговых письмах ссылки для загрузки архива с вредоносным ПО (ВПО) с контролируемого злоумышленниками ресурса. Примечательно, что ссылки вели на сайты, искусно имитировавшие ресурсы реальных российских промышленных компаний. Этот метод социальной инженерии остается крайне популярным: киберпреступники часто рассылают письма от имени крупных брендов или государственных регуляторов. Узнаваемые логотипы и элементы фирменного стиля повышают доверие жертв, побуждая их открыть вложение или перейти по ссылке. При этом организации, под чьим видом действуют злоумышленники, не несут ответственности за действия преступников.

Октябрьская атака: цепочка компрометации

В октябре 2025 года механизм атаки был восстановлен полностью. Злоумышленники рассылали ссылки для загрузки ZIP-архивов, содержащих вредоносные LNK-файлы. Ссылка вида "hxxps://disk.npo-[redacted][.]ru/files/1a427fba.zip" вела на ресурс, маскирующийся под сетевой диск предприятия. После перехода происходила загрузка архива с многословным названием, имитирующим исходящий документ.

Внутри архива находился LNK-файл, маскирующийся под PDF-документ, и папка с изображениями для отвлечения внимания. Запуск этого файла инициировал выполнение команды, которая с помощью PowerShell загружала с подконтрольного домена исполняемый файл "icon2.png". На самом деле это был дроппер (программа-распространитель), написанный на языке Go. Он содержал внутри себя в закодированном виде два файла: вредоносный загрузчик "chrome_proxy.pdf" и отвлекающий PDF-документ.

Дроппер декодировал нагрузку, сохранял её во временную папку и запускал оба файла. Загрузчик "chrome_proxy.pdf" оказался новой разработкой группировки - загрузчиком Loki версии 2.0. Этот компонент собирал информацию о системе (IP-адрес, имя пользователя, имя компьютера, версию ОС), шифровал её с помощью AES, кодировал в Base64 и отправлял на сервер управления и контроля (C2) злоумышленников. Отправка данных осуществлялась через GET-запрос на адрес, также имитирующий домен компании-жертвы. Основной задачей загрузчика было получение от сервера и запуск второй части - самого импланта Loki, совместимого с популярными фреймворками постэксплуатации Mythic и Havoc. На момент исследования загрузить финальную нагрузку не удалось.

Ноябрьское обновление: новый дроппер и Loki 2.1

Спустя месяц, в ноябре 2025 года, была зафиксирована новая активность Arcane Werewolf. Хотя полную цепочку атаки восстановить не удалось, аналитики обнаружили обновленные инструменты. Группировка начала использовать дроппер, написанный на C++. Вредоносная нагрузка хранилась в сжатом виде непосредственно в ресурсах исполняемого файла. Этот дроппер извлекал на диск два объекта: отвлекающий документ, похожий на служебное письмо, и файл "csrss64.exe", который оказался загрузчиком Loki версии 2.1.

Главным усовершенствованием в Loki 2.1 стала встроенная локальная версия самого импланта. Если ранее загрузчик лишь запрашивал его с сервера, то теперь он мог расшифровать и запустить имплант непосредственно из своей памяти, что повышает устойчивость атаки. Функционал импланта позволяет выполнять широкий спектр команд: управлять файлами, процессами, внедрять код в другие приложения, работать с токенами доступа Windows и запускать специальные объекты Beacon Object File (BOF). При этом в версии 2.1 логика вызова команд была изменена с хеш-сумм на порядковые номера, что упрощает их использование.

Отправка собранной телеметрии в этой атаке происходила на другой поддельный домен, связанный с электроприборостроительной тематикой: "hxxps://cdn.electropriborzavod[.]ru/index?data=[encoded_base64_enc_data]".

Выводы и рекомендации

Активность кластера Arcane Werewolf демонстрирует тревожную устойчивость и развитие. Ключевые выводы специалистов BI.ZONE Threat Intelligence включают продолжение целенаправленных атак на российский промышленный сектор, активную разработку собственного вредоносного инструментария и использование доменных имен, созвучных с именами организаций-жертв, для фишинга и размещения инфраструктуры.

Данные кампании подчеркивают важность постоянного повышения осведомленности сотрудников о фишинговых угрозах, особенно в контексте писем, имитирующих деловую переписку. Технические специалисты должны уделять внимание мониторингу необычной сетевой активности, особенно исходящих соединений на внешние ресурсы, и анализу запуска подозрительных процессов, таких как выполнение скриптов PowerShell для загрузки файлов. Бдительность в отношении файлов со сложными, максимально официальными названиями, поступающих из внешних источников, также является необходимой мерой предосторожности.

Индикаторы компрометации

Domains

  • cdn.electropriborzavod.ru
  • cloud.electropriborzavod.ru
  • disk.npo-[redacted].ru
  • docs.npo-[redacted].ru
  • electropriborzavod.ru
  • f.npo-[redacted].ru
  • files.npo-[redacted].ru
  • npo-[redacted].ru
  • test.npo-[redacted].ru

URLs

  • https://cdn.electropriborzavod.ru/index?data=[base64_enc_data]
  • https://cloud.electropriborzavod.ru/files/d8287185e4ae695a
  • https://disk.npo-[redacted].ru/files/1a427fba.zip
  • https://docs.npo-[redacted].ru/data?q=[base64_enc_data]
  • https://f.npo-[redacted].ru/m2.png
  • https://files.npo-[redacted].ru/direct/7b44646d-1b09-45b1-8977-62327e6ec1e7/1a427fba/%D0%98%D1%81%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B5%D0%B5%20%E2%84%96%207784%20%D0%BE%D1%82%2010.10.2025%20%D0%BE%D1%82%20%D0%90%D0%9E%20_%D0%9D%D0%9F%D0%9F%20_%D0%97%D0%B0%D0%B2%D0%BE%D0%B4%20%D0%98%D1%81%D0%BA%D1%80%D0%B0_.zip
  • https://static.my[redacted].ru/provider?client=[base64_enc_data]

SHA256

  • 0f728de0881dc37e79d3e065a331b21f6acadb7d129db2a5bfc27551bba3892e
  • 551c0455a608edd88ecd6946c93ed2ac9a68a48148630975a17905205629f617
  • 5f1d3992e426f47b572af12160f3cc7ac6c90634b17fd6a087eb1644a60a71f8
  • 67751c565593ad4557e73a521b2da96431937296f9dba7d03839e9496031fcbb
  • 6ccd834fdbba07cf071e3c6de703fbc7f9de10584df127ced27537db2e1a5a03
  • 7fbb29f8724fddfb32b29543e046cf4aceab8f10e5120150f58d7a119162c631
  • be317297dae16dd7b90ddd972b40aca810ff52f6a01a06c96d2dc4bbdd08231d
  • c0de8f8292721192cabe33ac51f2b26468bb2ca70f1e49cfb4647ff70bb14d23
  • e45a1fca84ea0de58f88fe8930b0309f9d736b7384a12f01b7843a9f6469d64b
  • e90f7f8594333e0a955a1daccbf5e9030ea86fa3c5c39f58b69d313304020fdd
  • f0cc251a2eb4a73aa20a8a90223600c9053a12ee94a1698ccbb9d189758ff4cb
  • f73fe375cddea8a869edad7dd33b3783090113ff0dd0ab3b4e275006be40cadc
  • fcd63239e4065414ba23d1546e18248653f6d937276520f16cf9a29308f65439
Комментарии: 0
Похожие записи
0
30.01.2025
Индикаторы компрометации

Nova Stealer IOCs

Stealer
Специалисты BI.ZONE Threat Intelligence обнаружили масштабную кампанию, направленную на российские организации в различных отраслях. Злоумышленники используют коммерческий стайлер под названием NOVA, который является новым форком SnakeLogger.
0
12.03.2025
Индикаторы компрометации

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.