Хакерская группировка Cavalry Werewolf атакует российские государственные учреждения с помощью фишинга и открытого ПО

Первоначальное проникновение в систему осуществлялось через фишинговые письма, содержащие вредоносные вложения, замаскированные под документы. Атакующие использовали бэкдор BackDoor.ShellNET.1, основанный на открытом проекте Reverse-Shell-CS, который позволяет устанавливать обратное соединение с зараженным компьютером. Файлы маскировались под служебные документы с названиями вроде «Служебная записка от 16.06.2025.exe» или «О проведении личного приема граждан список участников.exe». Для усиления правдоподобности злоумышленники размещали вредоносные программы в запароленных архивах и указывали пароли непосредственно в тексте писем.

После получения доступа Cavalry Werewolf использовали стандартные системные утилиты Windows для загрузки дополнительных вредоносных модулей. Через инструмент Bitsadmin злоумышленники загружали троянскую программу-стилер Trojan.FileSpyNET.5, предназначенную для кражи документов и изображений, а также бэкдор BackDoor.Tunnel.41 на базе открытого прокси-сервера ReverseSocks5 для создания скрытых туннелей. Это позволило им оставаться незамеченными и продолжить разведку в инфраструктуре жертвы.

Арсенал группировки включает разнообразные инструменты, адаптированные под конкретные цели. Среди точек входа обнаружены скрипты BAT.DownLoader.1138, которые запускают PowerShell-бэкдоры, и упакованные трояны типа Trojan.Packed2.49708, скрывающие в себе нагрузки для удаленного управления. Отдельное внимание привлекает BackDoor.Siggen2.5463, управляемый через Telegram-бота, что упрощает координацию атак. Для последующих стадий заражения Cavalry Werewolf применяют такие угрозы, как Trojan.Inject5.57968, который внедряет код в легитимные процессы, и BackDoor.ReverseProxy.1, обеспечивающий обратное прокси-соединение.

Характерной чертой группировки стало использование модифицированных легитимных приложений, включая архиваторы WinRar и 7-Zip, редактор AkelPad и даже Sumatra PDF Reader, который выдавался за мессенджер MAX. Подмененные программы теряют основную функциональность и выполняют только вредоносные сценарии, такие как запуск бэкдоров Havoc, CobaltStrike или клейперов (clipper), крадущих криптовалюты.

Внутри скомпрометированной сети злоумышленники действуют методично: собирают данные о пользователях и сетевой конфигурации через команды whoami, ipconfig и net user, проверяют настройки прокси с помощью PowerShell и curl, а для доставки инструментов используют легитимные средства вроде Bitsadmin и curl. Для обеспечения персистентности они прописывают автозагрузку в реестр Windows, а после выполнения задач удаляют следы через PowerShell.

Особенностью Cavalry Werewolf является активное использование открытого ПО, включая Reverse-Shell-CS и ReverseSocks5, что ускоряет разработку и усложняет атрибуцию. Управление через Telegram API позволяет им гибко контролировать инфраструктуру, а фишинговые рассылки имитируют переписку госорганов, повышая доверие жертв. Для хранения инструментов группировка часто использует публичные каталоги Windows, такие как C:\users\public\pictures и C:\users\public\downloads.

Эксперты отмечают, что атаки Cavalry Werewolf демонстрируют растущую угрозу для государственного сектора, где уязвимости в цепочке поставок и человеческий фактор становятся ключевыми векторами проникновения. Для защиты рекомендуется усилить фильтрацию вложений в почтовых системах, мониторить аномальную активность в сетевых логах и регулярно обновлять средства обнаружения, включая сигнатуры для инструментов с открытым исходным кодом. Важно обучать сотрудников распознаванию фишинговых писем и ограничивать права доступа к критическим ресурсам.

IPv4

• 109.172.85.63
• 109.172.85.95
• 168.100.10.73
• 185.173.37.67
• 185.231.155.111
• 188.127.231.136
• 192.168.1.157
• 192.168.11.10
• 192.168.88.104
• 195.2.78.133
• 62.113.114.209
• 64.95.11.202
• 77.232.42.107
• 78.128.112.209
• 89.22.161.133
• 94.198.52.210
• 96.9.125.168

IPv4 Port Combinations

• 78.128.112.209:10443

URLs

• http://195.2.79.245/code.exe
• http://195.2.79.245/rever.exe
• http://195.2.79.245/winpot.exe
• https://sss.qwadx.com/revv3.exe

SHA1

• 1957fb36537df5d1a29fb7383bc7cde00cd88c77
• 22641dea0dbe58e71f93615c208610f79d661228
• 29ee3910d05e248cfb3ff62bd2e85e9c76db44a5
• 451cfa10538bc572d9fd3d09758eb945ac1b9437
• 5684972ded765b0b08b290c85c8fac8ed3fea273
• 633885f16ef1e848a2e057169ab45d363f3f8c57
• 653ffc8c3ec85c6210a416b92d828a28b2353c17
• 6ec8a10a71518563e012f4d24499b12586128c55
• 8279ad4a8ad20bf7bbca0fc54428d6cdc136b776
• 93000d43d5c54b07b52efbdad3012e232bdb49cc
• a2326011368d994e99509388cb3dc132d7c2053f
• a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2
• b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5
• b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231
• b52e1c9484ab694720dc62d501deca2aa922a078
• baab225a50502a156222fcc234a87c09bc2b1647
• bbe3a5ef79e996d9411c8320b879c5e31369921e
• c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81
• c96beb026dc871256e86eca01e1f5ba2247a0df6
• ce4912e5cd46fae58916c9ed49459c9232955302
• d2106c8dfd0c681c27483a21cc72d746b2e5c18c
• d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4
• dcd374105a5542ef5100f6034c805878153b1205
• dd98dcf6807a7281e102307d61c71b7954b93032
• e51a65f50b8bb3abf1b7f2f9217a24acfb3de618
• e840c521ec436915da71eb9b0cfd56990f4e53e5
• e8ab26b3141fbb410522b2cbabdc7e00a9a55251
• f546861adc7c8ca88e3b302d274e6fffb63de9b0