Кибершпионская группа Core Werewolf с августа 2021 года атакует военные организации в Беларуси и России, ориентируясь на предприятия оборонно-промышленного комплекса и объекты критической информационной инфраструктуры. Используя программное обеспечение UltraVNC и MeshCentral, группа проводит свои кампании путем рассылки вредоносных писем с защищенными паролем архивами, содержащими вредоносные исполняемые файлы, замаскированные под легитимные документы.
Описание
В одном из недавних инцидентов в арсенале Core Werewolf было обнаружено письмо от al.gursckj@mail[.]ru с вложением под названием «Lists_on_nagr.7z». Вложение при открытии инициирует серию вредоносных действий через дроппер, отображающий обманчивый PDF-файл и выполняющий CMD-скрипты, запускающие дальнейшие вредоносные действия. Сюда входит настройка конфигурационного файла UltraVNC, завершение процессов и установление соединения с командно-контрольным сервером.
Еще один вредоносный исполняемый файл, undoubtedly.exe, приписываемый Core Werewolf, был обнаружен для российских военных организаций. Этот файл, загруженный на сервис VirusTotal, извлекал PDF-документ, содержащий информацию военного характера, и выполнял скрипты для установления соединения с другим командно-контрольным сервером. В предыдущих инцидентах группа использовала файлы-обманки, например списки наград, для маскировки своих атак.
Методы группы Core Werewolf включают в себя извлечение и выполнение вредоносной полезной нагрузки с помощью сложных скриптов, что позволяет получить удаленный доступ к взломанным системам и вывести конфиденциальные данные. Деятельность группы представляет серьезную угрозу безопасности и целостности военных организаций в регионе, что подчеркивает важность надежных мер кибербезопасности для защиты от подобных целенаправленных кибератак. Использование сложных инструментов и тактик подчеркивает эволюционирующий характер киберугроз и необходимость постоянной бдительности для защиты критической инфраструктуры и конфиденциальной информации.
Индикаторы компрометации
Domains
- stroikom-vl.ru
- ubzor.ru
Emails
MD5
- 1d05e4420070469c4c1b51bc5da1df64
- 2b949faa76109d6ef92832425b266142
- 2eef9cc37c99f21c705adaf6cd683c88
- 3b8bdca40ecd1e6fc492d3c4cafe8c26
- 3e013ab71b7cab5f23535a6cc38c1182
- 5eac13df9b13ebb1ef4c814a5492fe8a
- 600b1f4058852f7a48dc93313992e76e
- 749b3a68b9c5325d592822ee7c2c17ec
- 7e10f79cbef9aa40daf9c3728100ac4c
- 993e9a96d4f3eb33fa640ed998737311
- ba5af030ec4febfe7035d464371c9aea
- cefabbc325c2aeb3c2e88d20397a7d64
- d4f8ff9c89ace22bdb4bbb706c78fdd6
- e00f6193b73008a2a37b1b09cc8d644f
- eed79678821f69160938c4b3b143a216
SHA1
- 2552e0111fe7e314e371d7953b484ace9e170ff9
- 3ede6bb2df969432358a5883cf226971fde8b7d4
- 3f78dd7fc18a9c9bfe9663d9765074f1f944c75c
- 43ad3071800b0e91040a28921506692939079973
- 514362a46812eaa8ee7182f1b706ad1511bb50ea
- 7a2a338a0dae4446dde8859e99d23a382eee91f5
- 7d3abecf82dea7df2aaa581a01719190506fff82
- 87552e5948e91a04915ebe7e609abbadf5c6c3c6
- 8faee7472c4172c849ac5ed2123f0406e3c12877
- aa7393c003b511858a600cc3f052ae053f0f1360
- b8e1c54440a1697450ff29db4416b3d7dbd39944
- b927ef10309d890b4c7b94033b0d84d2f5cd7b8b
- bd078bfa475731fbec766e03808c85718fbc677f
- c6e1b1c629ba27a8f93c69b84b6146c63925dd05
- fe2f4a305c3be3ff987c81d730230bc45d6f611d
SHA256
- 2deaf73f665adbd4d3a74b3d459ae5c062cec7e7cbef05a897db6fa569a8cf75
- 4da95591d959a9bc261a7541bb6a8e9af37a5951ee617fa03b81cd175dfac700
- 5b87d9573e1d8260e1393e5111c5851f2423632f55242b48a8dfcb2daea689ac
- 5e049066663450c0c3419152685066ad171b95ba18550d2b65f8029d3479d1b6
- 64b8d7fa8a77866b26e43f5811b718a32a26aaaa383859aa446ba578dd5ebe73
- 655a020a58e39c32ab59a3829364c2b242cc7d814ba18ff9b59acd5b4d1a5b4d
- 7fdfecb6cc1656d5682db28e8c78f435c2a6b1ce0d65284bee05e4dc58b97114
- 9d202d558096adeb10445ea447390341ade55a03c791fbf822021c0985e66436
- a0f3dc3b8cd591a90a725c1e6871bfd5151a18f14aaa6ad26807c3b062252de6
- a1e8bcf235908069edc02f67545422df88c2add091fd98ba3c79f944b2c1e104
- b335fc5ec3efe3c85563be5360cb81fc72207df3f02f7868aaba2e78b93bf2b9
- b7be191d10829072fed740d8974e5215c5320ff060e34315ef01b6968b16213a
- cd66fb278c3a1db38ec9f5b086a7f653c77702c060767221f9014da6d0acafd0
- ded2af765d23b75d728144a5b2832707305628aaf402f02f78fa5e7d5b08ddbb
- f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24