Core Werewolf атаковали военные организации Беларуси и России

security

Кибершпионская группа Core Werewolf с августа 2021 года атакует военные организации в Беларуси и России, ориентируясь на предприятия оборонно-промышленного комплекса и объекты критической информационной инфраструктуры. Используя программное обеспечение UltraVNC и MeshCentral, группа проводит свои кампании путем рассылки вредоносных писем с защищенными паролем архивами, содержащими вредоносные исполняемые файлы, замаскированные под легитимные документы.

Описание

В одном из недавних инцидентов в арсенале Core Werewolf было обнаружено письмо от al.gursckj@mail[.]ru с вложением под названием «Lists_on_nagr.7z». Вложение при открытии инициирует серию вредоносных действий через дроппер, отображающий обманчивый PDF-файл и выполняющий CMD-скрипты, запускающие дальнейшие вредоносные действия. Сюда входит настройка конфигурационного файла UltraVNC, завершение процессов и установление соединения с командно-контрольным сервером.

Еще один вредоносный исполняемый файл, undoubtedly.exe, приписываемый Core Werewolf, был обнаружен для российских военных организаций. Этот файл, загруженный на сервис VirusTotal, извлекал PDF-документ, содержащий информацию военного характера, и выполнял скрипты для установления соединения с другим командно-контрольным сервером. В предыдущих инцидентах группа использовала файлы-обманки, например списки наград, для маскировки своих атак.

Методы группы Core Werewolf включают в себя извлечение и выполнение вредоносной полезной нагрузки с помощью сложных скриптов, что позволяет получить удаленный доступ к взломанным системам и вывести конфиденциальные данные. Деятельность группы представляет серьезную угрозу безопасности и целостности военных организаций в регионе, что подчеркивает важность надежных мер кибербезопасности для защиты от подобных целенаправленных кибератак. Использование сложных инструментов и тактик подчеркивает эволюционирующий характер киберугроз и необходимость постоянной бдительности для защиты критической инфраструктуры и конфиденциальной информации.

Индикаторы компрометации

Содержание
  1. Domains
  2. Emails
  3. MD5
  4. SHA1
  5. SHA256

Domains

  • stroikom-vl.ru
  • ubzor.ru

Emails

MD5

  • 1d05e4420070469c4c1b51bc5da1df64
  • 2b949faa76109d6ef92832425b266142
  • 2eef9cc37c99f21c705adaf6cd683c88
  • 3b8bdca40ecd1e6fc492d3c4cafe8c26
  • 3e013ab71b7cab5f23535a6cc38c1182
  • 5eac13df9b13ebb1ef4c814a5492fe8a
  • 600b1f4058852f7a48dc93313992e76e
  • 749b3a68b9c5325d592822ee7c2c17ec
  • 7e10f79cbef9aa40daf9c3728100ac4c
  • 993e9a96d4f3eb33fa640ed998737311
  • ba5af030ec4febfe7035d464371c9aea
  • cefabbc325c2aeb3c2e88d20397a7d64
  • d4f8ff9c89ace22bdb4bbb706c78fdd6
  • e00f6193b73008a2a37b1b09cc8d644f
  • eed79678821f69160938c4b3b143a216

SHA1

  • 2552e0111fe7e314e371d7953b484ace9e170ff9
  • 3ede6bb2df969432358a5883cf226971fde8b7d4
  • 3f78dd7fc18a9c9bfe9663d9765074f1f944c75c
  • 43ad3071800b0e91040a28921506692939079973
  • 514362a46812eaa8ee7182f1b706ad1511bb50ea
  • 7a2a338a0dae4446dde8859e99d23a382eee91f5
  • 7d3abecf82dea7df2aaa581a01719190506fff82
  • 87552e5948e91a04915ebe7e609abbadf5c6c3c6
  • 8faee7472c4172c849ac5ed2123f0406e3c12877
  • aa7393c003b511858a600cc3f052ae053f0f1360
  • b8e1c54440a1697450ff29db4416b3d7dbd39944
  • b927ef10309d890b4c7b94033b0d84d2f5cd7b8b
  • bd078bfa475731fbec766e03808c85718fbc677f
  • c6e1b1c629ba27a8f93c69b84b6146c63925dd05
  • fe2f4a305c3be3ff987c81d730230bc45d6f611d

SHA256

  • 2deaf73f665adbd4d3a74b3d459ae5c062cec7e7cbef05a897db6fa569a8cf75
  • 4da95591d959a9bc261a7541bb6a8e9af37a5951ee617fa03b81cd175dfac700
  • 5b87d9573e1d8260e1393e5111c5851f2423632f55242b48a8dfcb2daea689ac
  • 5e049066663450c0c3419152685066ad171b95ba18550d2b65f8029d3479d1b6
  • 64b8d7fa8a77866b26e43f5811b718a32a26aaaa383859aa446ba578dd5ebe73
  • 655a020a58e39c32ab59a3829364c2b242cc7d814ba18ff9b59acd5b4d1a5b4d
  • 7fdfecb6cc1656d5682db28e8c78f435c2a6b1ce0d65284bee05e4dc58b97114
  • 9d202d558096adeb10445ea447390341ade55a03c791fbf822021c0985e66436
  • a0f3dc3b8cd591a90a725c1e6871bfd5151a18f14aaa6ad26807c3b062252de6
  • a1e8bcf235908069edc02f67545422df88c2add091fd98ba3c79f944b2c1e104
  • b335fc5ec3efe3c85563be5360cb81fc72207df3f02f7868aaba2e78b93bf2b9
  • b7be191d10829072fed740d8974e5215c5320ff060e34315ef01b6968b16213a
  • cd66fb278c3a1db38ec9f5b086a7f653c77702c060767221f9014da6d0acafd0
  • ded2af765d23b75d728144a5b2832707305628aaf402f02f78fa5e7d5b08ddbb
  • f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24
Комментарии: 0