Группировка Rare Werewolf атакует госорганы РФ через фишинг с вредоносным архивом

Согласно сообщениям, злоумышленники рассылают электронные письма, содержащие вложение в виде архива с подозрительным названием «Пакет документов по Дополнительному соглашению к Договору №513402-2025.rar». Этот файл является ключевым элементом атаки. Внутри архива находятся два объекта. Первый - файл-приманка «Калькуляция.xlsx», который, вероятно, выглядит как легитимный документ для отвлечения внимания. Второй и основной компонент - исполняемый файл с расширением .scr, замаскированный под документ: «Документы по Дополнительному соглашению к Договору №513402-2025.scr».

Расширение .scr традиционно ассоциируется с заставками (скринсейверами) Windows, однако это также исполняемый формат. Злоумышленники рассчитывают на то, что пользователь, ожидающий увидеть текстовый документ или презентацию, не заметит подмены и запустит файл. После запуска этого вредоносного исполняемого файла на компьютер жертвы тайно устанавливается программа для удаленного доступа AnyDesk. Данное легитимное программное обеспечение часто используется хакерами для получения полного контроля над скомпрометированной системой.

Установка AnyDesk предоставляет атакующим практически неограниченные возможности. Они могут похищать конфиденциальные данные, вести наблюдение, перемещаться по корпоративной сети и готовить почву для более разрушительных действий. Подобная тактика соответствует методам, часто используемым APT (Advanced Persistent Threat, угроза целевой атаки) группами, которые нацелены на государственные и стратегические объекты. Основная задача на этом этапе - обеспечить постоянное присутствие (persistence) в системе для долгосрочного шпионажа.

Выбор целей - государственные структуры и субъекты КИИ - указывает на вероятные политические или экономические мотивы атакующих. Критическая информационная инфраструктура включает организации в сфере здравоохранения, транспорта, энергетики и связи, что делает их компрометацию особо опасной. Успешная атака может привести не только к утечке данных, но и к нарушению функционирования важных служб.

Эксперты отмечают, что фишинговая кампания Rare Werewolf демонстрирует высокий уровень социальной инженерии. Названия файлов и архивов выглядят максимально бюрократично и правдоподобно для сотрудника госучреждения, ожидающего служебных документов. Это значительно повышает шансы на успешное внедрение.

Для защиты от подобных угроз специалисты рекомендуют усилить меры кибергигиены. Во-первых, необходимо проводить регулярное обучение сотрудников, особенно в госсекторе, по распознаванию фишинговых писем. Следует обращать пристальное внимание на расширения файлов и никогда не запускать исполняемые файлы (.exe, .scr, .bat) из непроверенных источников, даже если они приходят из якобы знакомого контекста. Во-вторых, важно использовать комплексные решения безопасности, включающие антивирусное ПО, системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS). Кроме того, рекомендуется ограничить установку неподконтрольного программного обеспечения, такого как удаленные клиенты, на корпоративных компьютерах.

В настоящее время профильные службы реагирования на компьютерные инциденты (CERT), вероятно, изучают данную кампанию. Обычно они выпускают технические рекомендации по обнаружению индикаторов компрометации (IoC), таких как хэши вредоносных файлов, домены отправителей и сетевые сигнатуры активности AnyDesk, связанной с атакой. Организациям следует следить за этими бюллетенями и применять рекомендации на практике.

Атака группировки Rare Werewolf служит очередным напоминанием о том, что социальная инженерия остается одним из самых эффективных инструментов в арсенале киберпреступников, особенно при атаках на государственный сектор. Постоянная бдительность, обучение и многоуровневая защита являются ключевыми элементами противодействия таким сложным угрозам.

SHA256

• c2a856e66469f64dcd3351b56ad1c61d0db0488c7248bc3c05df2edf7e212be2
• eaeedfe9958399f220a0ec793135ea96880d47e8aa0edf271623a55a9df79a05