Группировка Fairy Wolf нацелилась на российские госорганы и критическую инфраструктуру с помощью фишинга

Атака начинается с рассылки тщательно подготовленных электронных писем. Злоумышленники используют социальную инженерию, маскируя сообщения под официальную деловую переписку. В качестве примера темы письма специалисты приводят вариант «Исходящий № 104ОП-23 от 09.09.2025». Подобный формат должен вызывать доверие у сотрудников государственных и критически важных организаций, имитируя реальный документооборот.

Во вложении к таким письмам находится архивный файл, например, «ИСХ № 104ОП-23 от 09.09.2025.zip». Внутри архива содержится файл с расширением ".hta" (HTML Application), который повторяет название вложения. Это расширение часто используется злоумышленниками, поскольку файлы ".hta" могут исполнять сценарии и представляют повышенную опасность. Пользователь, запустивший такой файл, инициирует вредоносную цепочку.

После запуска файла ".hta" на целевой системе выполняется вредоносный VBS-скрипт. Его основная задача - загрузка и внедрение финального вредоносного полезного кода. В данной кампании используется вредоносное программное обеспечение типа «стилер» под названием Unicorn Stealer. Этот вымогательпредназначен для скрытого сбора и кражи данных с зараженного компьютера. В частности, он может собирать сохраненные в браузерах пароли, данные банковских карт, файлы из ключевых директорий и информацию из мессенджеров.

Успешное внедрение такого вредоносного ПО в сеть государственного учреждения или объекта КИИ может привести к утечке значительных объемов чувствительных данных. Похищенная информация впоследствии может быть использована для шантажа, продажи на теневых форумах или подготовки более глубоких и разрушительных атак, включая целенаправленные APT (Advanced Persistent Threat - усовершенствованная постоянная угроза).

Данная кампания демонстрирует классические приемы сохранения присутствия в системе и соответствует нескольким тактикам матрицы MITRE ATT&CK, включая Initial Access (первоначальный доступ) через фишинг и Execution (исполнение) через скрипты. Атака подчеркивает сохраняющуюся актуальность фишинга как основного вектора начального проникновения, даже несмотря на всеобщую осведомленность об этой угрозе. Тщательная тематическая подготовка писем указывает на целенаправленный характер атак, а не на массовую рассылку.

Специалисты рекомендуют сотрудникам соответствующих организаций проявлять повышенную бдительность при работе с входящей корреспонденцией. Необходимо тщательно проверять адреса отправителей, даже если тема письма выглядит официальной. Крайне важно не открывать вложения из писем от неизвестных или вызывающих сомнение источников. Также эксперты настаивают на обязательном использовании обновленных антивирусных решений и систем защиты конечных точек (EDR). Регулярное обучение персонала основам кибергигиены остается ключевой мерой противодействия подобным социально-инженерным атакам. Инцидент также свидетельствует о необходимости постоянного мониторинга сетевой активности для быстрого выявления аномалий и потенциальных утечек данных.

IPv4

• 20.242.39.171

Domains

• van-darkholm.org

URLs

• https://discord.com/api/webhooks/1409469087540711464/-pqbOdmNcveSFiq8-jx0Szsxs2yow6thUpRLpVzvJQybUPnfWGijqstTarmQO7l8usw2
• https://discord.com/api/webhooks/1411030951936397355/qxVvZNleyOkZzAfqHV6iJg0G61Cxa8cBU7wlFWmy4i1ZnGpZ867lvypPJ1CnvgmtTXin
• https://discord.com/api/webhooks/1414903396804329532/cABwZsghv5UunvK4eeCmUxYyeSbnUTIWOlupqCDYiMfhauWmOXAwTpvbGM8cjqKTC1Ov

Emails

• g.lab@smart-bit.ru
• info@sib-servis.com
• stepanov@stroy-trast.ru

MD5

• 32aff65a3006574e49fa20d095d25d03
• 3879eab19b581f386b1c5a390ae68723
• 4cfb68239fe4a47a37b2dfe695a1b054
• 5dceb5126761974e1786bf4a8a843c36
• 5de6a5f728645cdbda4a29e269d5fe59
• 6db1330ea42d6d038a1e381f89ab6956
• 712c54de35607c6196133f4067c07033
• 8396c50153c48d58c2e70f22b319feb9
• 8c72c7946f447434e5b230595e60b7f6
• 9f3076a3d968705556f7786c4d46d595
• a338c0bf917ba3001f3cd52c14e0a144
• d48c2175d3a34dd1da4ada4490b4d5f0
• d875d43a5facc184e11c331b09008069
• dbf7662c275f68c7fcbee63122e8834d
• f0618734af9249c32f47885f5a7efd19

SHA1

• 06001d769837ade5f6f868395b9243395c03861a
• 60bef1fe230cdb239ed32870890657a522767eb4
• 6868b7a58ec5ca8206516b24d5e3909a171dd2e2
• 6ce309fc944b04411dc68b583fd3593638ada29b
• 7b9cbb05ebcbab45ae36acf1a9475a7332c1017d
• 8a8b605c3f06055d77387a25c0fd8c6b8d9c78e5
• 8adc17ef3c3696ec5e24ba9b17762f5f84c66116
• 9dc595a97c337bb72c2837c8cf94b3e975963857
• ade16577b803e2410180aafca9c623da8c21db79
• c812e7eeb4fbaaf70df6575b2501dc091226405a
• d4d287683f970433b26b3ea29ac55f20f1edb351
• e726d034d6992a8745648ae1b2fd564e59278057
• ec391036b20a54570b25ece1508a1124205a6f4e
• efd9e588721f88896f801a5bd6063886176c14e3
• f8924be4026f6e71652d7ebed1f647d739cf9732
• ff8dfc15a98c8d164c2328080e86e58d986153b9

SHA256

• 006ee66c8fe704c86a466c4e466560b40676c7cb14ace729466d64747350556c
• 034ef1f8d9cdfbed4beff79518a7416b90f0b0d8e0bd617b25a64751c97b399d
• 05ef1dbeda4f996488b52df754dd8343c89ee9515621d4dbc045b0733a8e3720
• 0b93bae52b6285355180ca571461a645df3c581ebc63a81d88174ec7774a4a07
• 0c8cc06535bb6680d6cb957e71598de0e13bebcccc2eeb018bf4fb4e374be5e3
• 13e5f827dd718af8269dd34ccaa2f6a60a553e9452562dc24df04c58efe538e9
• 23e2fef07b493fb7192ae0cfe081af709717843a2c5339b9b2627743a8874338
• 2deb143f494f7f9bfc62808e916b750ac8278d24466a70921e1bf28fd1a21129
• 315ee3be06cd4f4369f3d347096337e390b47c35caf8208a94b2e1e6c973eea6
• 426f8ea5b58babb8f3c0c04f3a1d4828376fe2c77a48e2988656a27478586d42
• 501abf0fb72c91804ff29bfe19ff9b040f83ff8bcfc2da3593b07830fcfad383
• 58cb74938a300e540afbfbed39fb1cddf0c288c10d6caa1222f9171ffe475595
• 68382c61724c3a78458a9eec3e6b05ee04f463848d9b46c451ce46cb1905c8b7
• 6bbd5114443cc1d434ba2042d51f693dbbbb6cc7819f271c8ea940ad1233eda4
• 6e4be09f4f757111855f20ab61737fb2a0f1937ac0ea2d095a18c7b35f669237
• 88a93601067749418fee02c1ef98977aa3fb49caa0410e7c9fafe4cbbfb56710
• 9ea547248b521dd10feaa23f9d44d9dc74ee80be4b00b8d0339a0717866eef45
• b056040a4da9d4859f7986764ab028ab55c5c7618c77cc7f354f3ab7cec4ee83
• b913113ba9792c35b199eed77a6c110908322e26b1b4292d959eb18c8d61579b
• b99b2401ba294bca3fbdda6d88f25c077f3d407331f5052d2f5c471cb6d39a06
• b9f2e0fef1549221cb6ec47082db83c5ad09f81492e420b4145b1ce72ee48890
• d00771c5c63b108b44ab04263075719bc070ab72f907e89c97c4d299d62fab33
• de200d3430f16de77854972c8db2941d195159d790c948ac2c78c88d22b10169
• f80dd85446934ceb33c87116bd10197915f7b611392491e1bba40763479a41ef