Core Werewolf атаковали военные организации Беларуси и России

В одном из недавних инцидентов в арсенале Core Werewolf было обнаружено письмо от al.gursckj@mail[.]ru с вложением под названием «Lists_on_nagr.7z». Вложение при открытии инициирует серию вредоносных действий через дроппер, отображающий обманчивый PDF-файл и выполняющий CMD-скрипты, запускающие дальнейшие вредоносные действия. Сюда входит настройка конфигурационного файла UltraVNC, завершение процессов и установление соединения с командно-контрольным сервером.

Еще один вредоносный исполняемый файл, undoubtedly.exe, приписываемый Core Werewolf, был обнаружен для российских военных организаций. Этот файл, загруженный на сервис VirusTotal, извлекал PDF-документ, содержащий информацию военного характера, и выполнял скрипты для установления соединения с другим командно-контрольным сервером. В предыдущих инцидентах группа использовала файлы-обманки, например списки наград, для маскировки своих атак.

Методы группы Core Werewolf включают в себя извлечение и выполнение вредоносной полезной нагрузки с помощью сложных скриптов, что позволяет получить удаленный доступ к взломанным системам и вывести конфиденциальные данные. Деятельность группы представляет серьезную угрозу безопасности и целостности военных организаций в регионе, что подчеркивает важность надежных мер кибербезопасности для защиты от подобных целенаправленных кибератак. Использование сложных инструментов и тактик подчеркивает эволюционирующий характер киберугроз и необходимость постоянной бдительности для защиты критической инфраструктуры и конфиденциальной информации.

Domains

• stroikom-vl.ru
• ubzor.ru

Emails

• [email protected]

MD5

• 1d05e4420070469c4c1b51bc5da1df64
• 2b949faa76109d6ef92832425b266142
• 2eef9cc37c99f21c705adaf6cd683c88
• 3b8bdca40ecd1e6fc492d3c4cafe8c26
• 3e013ab71b7cab5f23535a6cc38c1182
• 5eac13df9b13ebb1ef4c814a5492fe8a
• 600b1f4058852f7a48dc93313992e76e
• 749b3a68b9c5325d592822ee7c2c17ec
• 7e10f79cbef9aa40daf9c3728100ac4c
• 993e9a96d4f3eb33fa640ed998737311
• ba5af030ec4febfe7035d464371c9aea
• cefabbc325c2aeb3c2e88d20397a7d64
• d4f8ff9c89ace22bdb4bbb706c78fdd6
• e00f6193b73008a2a37b1b09cc8d644f
• eed79678821f69160938c4b3b143a216

SHA1

• 2552e0111fe7e314e371d7953b484ace9e170ff9
• 3ede6bb2df969432358a5883cf226971fde8b7d4
• 3f78dd7fc18a9c9bfe9663d9765074f1f944c75c
• 43ad3071800b0e91040a28921506692939079973
• 514362a46812eaa8ee7182f1b706ad1511bb50ea
• 7a2a338a0dae4446dde8859e99d23a382eee91f5
• 7d3abecf82dea7df2aaa581a01719190506fff82
• 87552e5948e91a04915ebe7e609abbadf5c6c3c6
• 8faee7472c4172c849ac5ed2123f0406e3c12877
• aa7393c003b511858a600cc3f052ae053f0f1360
• b8e1c54440a1697450ff29db4416b3d7dbd39944
• b927ef10309d890b4c7b94033b0d84d2f5cd7b8b
• bd078bfa475731fbec766e03808c85718fbc677f
• c6e1b1c629ba27a8f93c69b84b6146c63925dd05
• fe2f4a305c3be3ff987c81d730230bc45d6f611d

SHA256

• 2deaf73f665adbd4d3a74b3d459ae5c062cec7e7cbef05a897db6fa569a8cf75
• 4da95591d959a9bc261a7541bb6a8e9af37a5951ee617fa03b81cd175dfac700
• 5b87d9573e1d8260e1393e5111c5851f2423632f55242b48a8dfcb2daea689ac
• 5e049066663450c0c3419152685066ad171b95ba18550d2b65f8029d3479d1b6
• 64b8d7fa8a77866b26e43f5811b718a32a26aaaa383859aa446ba578dd5ebe73
• 655a020a58e39c32ab59a3829364c2b242cc7d814ba18ff9b59acd5b4d1a5b4d
• 7fdfecb6cc1656d5682db28e8c78f435c2a6b1ce0d65284bee05e4dc58b97114
• 9d202d558096adeb10445ea447390341ade55a03c791fbf822021c0985e66436
• a0f3dc3b8cd591a90a725c1e6871bfd5151a18f14aaa6ad26807c3b062252de6
• a1e8bcf235908069edc02f67545422df88c2add091fd98ba3c79f944b2c1e104
• b335fc5ec3efe3c85563be5360cb81fc72207df3f02f7868aaba2e78b93bf2b9
• b7be191d10829072fed740d8974e5215c5320ff060e34315ef01b6968b16213a
• cd66fb278c3a1db38ec9f5b086a7f653c77702c060767221f9014da6d0acafd0
• ded2af765d23b75d728144a5b2832707305628aaf402f02f78fa5e7d5b08ddbb
• f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24