Специалисты по кибербезопасности выявили новую серию целевых компьютерных атак на органы государственной власти и субъекты критической информационной инфраструктуры (КИИ) Российской Федерации. Источником угрозы выступает ранее малоизвестная хакерская группировка, получившая условное название Paper Werewolf («Бумажные оборотни»). В своих операциях злоумышленники применяют специализированное вредоносное программное обеспечение типа «загрузчик» (loader), которое служит скрытым каналом для внедрения более сложных вредоносных инструментов в целевые системы.
Описание
Ключевым элементом начальной стадии атаки является исполняемый файл с именем "WinService.exe". Этот файл маскируется под легитимный компонент операционной системы Windows. После запуска, который может быть инициирован через фишинговое письмо или эксплуатацию уязвимости, загрузчик незаметно для пользователя и стандартных средств защиты начинает свою работу. Его основная задача - обеспечить так называемое постоянное присутствие (persistence) в системе и загрузить основной вредоносный модуль (payload) с удалённого сервера под контролем злоумышленников.
Использование загрузчика - распространённая тактика современных APT-групп (Advanced Persistent Threat, целенаправленная постоянная угроза). Подобный подход позволяет хакерам разделить этапы атаки. Первоначально в систему попадает относительно простой и легко модифицируемый компонент, основной задачей которого является «приземление» и создание плацдарма. Уже затем, установив связь с командным центром, он загружает основной инструментарий, адаптированный под конкретные цели. Это может быть шпионское ПО, инструменты для кражи данных или шифровальщик
Анализ активности Paper Werewolf указывает на их целевую ориентацию на государственные и критически важные структуры. Подобные атаки преследуют цели сбора конфиденциальной информации, проведения киберразведки или потенциального нарушения нормального функционирования важных объектов. Фактически, группировка действует по методологиям, схожим с описанными в матрице MITRE ATT&CK - общепризнанном каталоге тактик и техник киберпротивников.
Внедрение через загрузчик "WinService.exe" представляет повышенную опасность из-за возможной маскировки под системные процессы. Следовательно, для обнаружения подобных угроз недостаточно полагаться только на классические антивирусные решения, основанные на сигнатурах. Эксперты рекомендуют организациям, особенно входящим в сферу КИИ, усиливать многоуровневую защиту. Ключевыми элементами такой защиты являются системы обнаружения и предотвращения вторжений (IDS/IPS), постоянный мониторинг сетевой активности, анализ поведения приложений и пользователей, а также регулярное обучение сотрудников основам кибергигиены для противодействия фишингу.
Ситуация требует от потенциальных целей повышенной бдительности и проверки своих систем на предмет возможных индикаторов компрометации. Инцидент в очередной раз подчёркивает, что объекты государственного значения и критической инфраструктуры остаются в фокусе внимания сложноорганизованных киберакторов, применяющих изощрённые и многоэтапные методы атак.
Индикаторы компрометации
Domains
- marchline.org
URLs
- https://marchline.org/abolition/0d9a8694-6436-40ce-ba90-9ed02288fd61/ticket/
SHA256
- 3a3c4a5862e3322f6f136eacb3342f708b5596587ea3cc5b1c86f143de1a7b86
- 78b67b44e8fbf20f82450d1bb003d5d82e19f727acac2247cff1207096435ab3
