Массовая фишинговая кампания Rare Werewolf использует AnyDesk и утилиты NirSoft для захвата удалённого доступа и кражи паролей

APT

Специалисты Angara MTDR проанализировали новую волну атак хакерской группировки Rare Werewolf, известной также под псевдонимами Rezet и Librarian Ghouls. Атака была зафиксирована в начале июля 2026 года и нацелена на российские организации. Методика атаки представляет собой многоступенчатую цепочку заражения, в финале которой злоумышленники получают полный контроль над инфицированным компьютером, а также извлекают сохранённые пароли из браузеров и почтовых клиентов. Кампания демонстрирует высокий уровень проработки социальной инженерии и глубокое понимание типичных корпоративных процессов.

Описание

Первое зафиксированное письмо было отправлено 1 июля 2026 года в 3 часа ночи по московскому времени с учётной записи nshan.marayan[@]bk[.]ru от имени вымышленного сотрудника "Вовченко Алексей". Тема письма включала префиксы Fwd и Re, что создавало видимость продолжения существующей переписки или пересланного коллегами обсуждения. Текст письма был наполнен типичными для деловой переписки терминами: "преамбула", "п. 4.6", "согласованный проект", "договор", "калькуляция". Упоминание конкретного пункта документа усиливало впечатление, что отправитель действительно работал с вложением и вносил в него изменения. Письмо содержало также блок о проверке антивирусным решением Kaspersky Security Mail Gateway, что должно было снизить подозрения получателя. Вложение представляло собой зашифрованный архив "Актуальная редакция Договора поставки N 8530-69 Исх. 755.rar". Пароль к архиву ("vovchenko") был указан в теле письма.

Пример письма

Внутри архива находились два файла: пустой файл "Калькуляция по Договору поставки N 8530-69.xlsx" (заполненный нулевыми байтами для имитации содержимого) и исполняемый файл "Актуальная редакция Договора поставки N 8530-69 Исх. 755.com", являющийся основным носителем вредоносной нагрузки. Запуск этого файла активирует последовательность действий, описанных в специализированном отчёте Angara MTDR.

Документ прикрытия

После запуска исполняемый файл, созданный с помощью Smart Installer Maker 5.04, создаёт скрытый и системный каталог %APPDATA%\Windows\. В этот каталог помещаются сценарий find.cmd, документ прикрытия doc5.doc, скрипт any.bat, файл url.txt с адресом для загрузки следующих компонентов, а также утилита find.exe (представляющая собой curl). Затем сценарий find.cmd загружает с удалённого сервера goffice[.]digital три файла, замаскированных под изображения (bk.jpg, driver.jpg, pas.jpg). После распаковки архивов с паролем "limpid2903392" на диск попадают: 4t Tray Minimizer (для скрытия иконки в трее), AnyDesk (легитимное средство удалённого администрирования), WinRAR CLI (driver.exe), а также утилиты NirSoft WebBrowserPassView и MailPassView для извлечения паролей. Параллельно find.cmd отключает брандмауэр Windows, пытается остановить и удалить службу защиты Windows Defender и MpsSvc, а также создаёт разрешающие правила для TCP-порта 6004.

После установки AnyDesk скрипт any.bat ожидает около двух минут, после чего автоматически задаёт пароль для неконтролируемого доступа - "QWERTY1234566". Злоумышленники могут подключаться к системе в любое время без участия пользователя. Далее bat.bat изменяет параметры электропитания, чтобы предотвратить переход компьютера в спящий режим или гибернацию. Через 150 секунд после этого система отправляет файл конфигурации AnyDesk (system.conf) на SMTP-сервер mail.goffice[.]click с учётными данными out[@]goffice[.]click и паролем ZMQofPP8aTsV. Также отправляются собранные пароли из браузеров и почтовых клиентов (файлы password.txt и email.txt). После отправки скрипт bat.bat удаляет все файлы установщика, кроме самого AnyDesk, и чистит артефакты в папке C:\Intel\. Часть скрипта, удаляющая файлы из C:\Intel\, осталась от предыдущих кампаний группировки.

Предоставленный анализ показывает, что вся цепочка реализует комбинацию задач: развёртывание постоянного удалённого доступа, кражу учётных данных и заметание следов. Особого внимания заслуживает использование зашифрованных архивов на каждом этапе загрузки. Это усложняет обнаружение сетевыми фильтрами и антивирусными сканерами, поскольку промежуточные стадии не содержат индикаторов компрометации в открытом виде. Также примечательно, что для отправки данных применяется стандартный SMTP-протокол, что позволяет обходить ограничения, наложенные на классические каналы управления (C2).

Кампания Rare Werewolf рассчитана на организации, где обмен зашифрованными архивами является обычной практикой, а сотрудники привыкли получать вложения в формате .rar. Отключение системы безопасности, в частности попытка удалить службу MpsSvc, указывает на подготовку к долгосрочному присутствию в сети. В случае успеха атаки злоумышленники получают не только возможность удалённого управления, но и доступ ко всем учётным записям, сохранённым в браузерах и почтовых программах жертвы. Это открывает путь к дальнейшему развитию атаки - поиску более привилегированных аккаунтов, боковому перемещению и потенциальному запуску программ-вымогателей.

Следует отметить, что часть действий скриптов (например, отключение UAC) требует прав администратора и может не сработать на современных версиях Windows с включённым контролем учётных записей. Однако наличие автоматически развёрнутого AnyDesk с заданным паролем делает систему уязвимой даже при неполном выполнении всех шагов. Для защиты от подобных атак рекомендуется внедрить политики, запрещающие установку сторонних программ удалённого доступа без явного согласования, а также усилить фильтрацию вложений, блокируя исполняемые файлы даже внутри зашифрованных архивов. Кроме того, обучение персонала должно включать распознавание признаков социальной инженерии, таких как поддельные антивирусные уведомления и упоминание несуществующих пунктов договоров.

Индикаторы компрометации

Domain

  • goffice.click
  • goffice.digital
  • mail.goffice.click

Email

  • nshan.marayan@bk.ru
  • out@goffice.click

MD5

  • 1e02a122fe09272058fc1ef0b1b6265e
  • 29086d9247fdf40452563c11b3dca394
  • 2fdeafb457a4ecc1f929834d228469ec
  • 34c6dfa28c293b5f21a77f74d94de16b
  • 3537687b1d430ae0b44424a41866c63d
  • 3790f03580650f7018ec27414bf17eb4
  • 5995ae2dd85a81b2aba1dcd574c5b8ab
  • 68f8273b3ce5e44ed20ee2943e0de193
  • 7425d5a3b3352f87bc33b3bf62a73a9e
  • 770b7e91f6daf8b9d069fd3f242edbca
  • bb3af87238abccdd1b9001f96348e756
  • cce2e2a4ad6ec5cb6926ae09a5a90d67
  • e3128f066524b377d6aa23db52a28c8f
  • f23199ddbbe20f887a557311ec1b0904

Комментарии: 0