Rare Werewolf атакует госорганы РФ через фишинговые письма «от Минфина»

Согласно данным аналитиков, злоумышленники вкладывают в такие письма вредоносные исполняемые файлы. При запуске такого файла пользователем на его экране открывается легитимная веб-страница официального сайта Минфина России. Этот прием используется для отвлечения внимания и маскировки истинных действий. Параллельно в фоновом режиме запускается вредоносный Batch-скрипт.

Данный скрипт выполняет многоэтапную вредоносную активность. Прежде всего, он осуществляет установку популярного легального программного обеспечения для удаленного администрирования AnyDesk. Это позволяет злоумышленникам в дальнейшем получать удаленный контроль над скомпрометированной системой.

Кроме того, скрипт нацелен на сбор учетных данных пользователя. Собранные логины, пароли и другие конфиденциальные данные затем передаются на управляющие серверы, контролируемые хакерами. Также в рамках атаки происходит установка программного обеспечения для скрытого майнинга криптовалют, в данном случае - XMRig. Установка майнера позволяет преступникам незаконно использовать вычислительные ресурсы атакованных организаций для генерации цифровых активов, что может приводить к значительному замедлению работы систем и дополнительным финансовым издержкам.

Группировка Rare Werewolf классифицируется экспертами как APT (Advanced Persistent Threat, усовершенствованная постоянная угроза), что подразумевает высокий уровень технической оснащенности, долгосрочные цели и использование сложных методов. Их интерес к государственным структурам и объектам КИИ указывает на потенциальные цели, связанные с хищением чувствительной информации, шпионажем или дестабилизацией работы.

Данная кампания демонстрирует классические, но от этого не менее эффективные техники социальной инженерии. Использование имени авторитетного государственного ведомства значительно повышает вероятность успешного вскрытия атаки, так как сотрудники подобных организаций регулярно работают с официальной документацией. При этом техническая реализация включает как стандартные инструменты для удаленного доступа, так и монетизацию атаки через криптомайнинг.

Для противодействия подобным угрозам специалисты по кибербезопасности рекомендуют усилить меры по обучению сотрудников, особенно правилам идентификации фишинговых писем. Ключевыми признаками подделки могут быть неофициальные адреса отправителей, орфографические ошибки, нехарактерные формулировки или срочные требования к действию. Кроме того, критически важным является строгое соблюдение политик информационной безопасности, включая запрет на запуск непроверенных исполняемых файлов и вложений из неподтвержденных источников.

Регулярное обновление антивирусного программного обеспечения и систем обнаружения вторжений (IDS) также остается базовой, но необходимой практикой. Организациям следует рассмотреть внедрение решений класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках) для более глубокого мониторинга активности на рабочих станциях и серверах. Инцидент с Rare Werewolf в очередной раз подчеркивает, что человеческий фактор часто остается самым уязвимым звеном в системе защиты, а комбинированные атаки, нацеленные и на людей, и на технологии, требуют комплексного подхода к кибербезопасности.

Domains

• anyinfos.ru
• center-mail.ru
• email-office.ru
• mail.center-mail.ru

URLs

• http://email-office.ru/bk.rar
• http://email-office.ru/driver.exe
• http://email-office.ru/pas.rar

Emails

• out@center-mail.ru

MD5

• 4e58fac4e19b9ef28f41e8211c1f54b6
• 8055677048bfb72ef43eeb6462d36bfd

SHA1

• 35d29352fea8649b864ae5c19c9077ebb6d7a714
• b72062e6c5c0d09db5c861c11878008d46e87a49

SHA256

• 1e4f93a570b5f6d08b3a63bf7685e5045d19a6ba4493594fa82e280b0448fe64
• 752ec372adc86abfcc59b8d8a5cb82d8f446168a5f8eccbba4cfdfd287ea4cd5
• b9dad201d2968a2caab63d61a05a27aebea5f95bbcd6f3150c14cbf36ebb50b0
• d045196650b6e4ef8654942f9e67959b12ff5ff737363e3afdc316cf0c685983