Scaly Wolf возобновляет атаки на российское машиностроение с усовершенствованным арсеналом

Поводом для расследования стали периодические срабатывания антивируса на одном из компьютеров предприятия в конце июня 2025 года. Анализ показал, что это была не ложная тревога, а признаки целевой атаки. Точкой входа стал компьютер без установленного антивируса Dr.Web, зараженный 12 мая через фишинговое письмо. Злоумышленники использовали письма без текста, содержащие финансовую тематику. К письмам прикреплялись PDF-документ-приманка и ZIP-архив, защищенный паролем. Внутри архива находился исполняемый файл, замаскированный под документ PDF с помощью двойного расширения ("Акт Сверки.pdf.exe"), эксплуатирующего настройки Windows по умолчанию, скрывающие настоящие расширения файлов.

Основным инструментом начального заражения выступил троян-загрузчик Trojan.Updatar.1, детектированный «Доктор Веб» еще 6 мая 2025 года. Этот загрузчик, известный аналитикам около года, претерпел изменения, получив уникальную обфускацию, названную специалистами RockYou Obfuscation. Ее суть заключается в заполнении кода трояна множеством строк из знаменитого словаря утекших паролей RockYou.txt (свыше 30 миллионов записей). Эти строки подвергаются различным операциям, не влияющим на функциональность, но затрудняющим анализ, в то время как реально значимый код скрыт с помощью XOR-кодирования со случайным ключом для каждого образца.

После успешного запуска Trojan.Updatar.1 на незащищенном компьютере 12 мая, в течение часа были загружены и установлены последующие компоненты модульного бэкдора Updatar - Trojan.Updatar.2 и Trojan.Updatar.3. Злоумышленники быстро начали укреплять свои позиции: уже 14 мая с помощью службы BITS был скачан shell.exe, содержащий шеллкод для загрузки бэкдора Meterpreter (из набора Metasploit). Затем последовала установка модуля Trojan.Updatar.3 (FileManager.exe) для кражи файлов, использование утилиты Tool.HandleKatz для дампа учетных данных из процесса LSASS и развертывание RDP Wrapper (Program.Rdpwrap.7) для удобного удаленного доступа. Также были установлены утилиты туннелирования трафика Tool.Chisel и Tool.Frp.

Используя учетные данные, похищенные с первого компьютера, атакующие 14 мая получили доступ к сети предприятия и начали разведку на втором компьютере. Попытка установить Trojan.Updatar.1 через службу BITS 23 мая была заблокирована антивирусом Dr.Web. Однако 29 мая злоумышленники, используя скомпрометированные данные, вручную установили модули Trojan.Updatar.2 и Trojan.Updatar.3, а 3 июня через BITS загрузили Meterpreter. Атака на третий компьютер началась 23 июня через скомпрометированную учетную запись RDP. Атакующие пытались запустить вредоносные PowerShell-скрипты, а затем переключились на утилиту удаленного администрирования RemCom (Program.RemoteAdmin.877). С ее помощью они выполняли команды для идентификации антивируса, отключения защит Windows Defender, добавления исключений и попыток скачать Meterpreter (BackDoor.Shell.244) и Trojan.Updatar.1 под видом "zabix.exe" и "installer.exe". Все эти действия также были заблокированы антивирусом.

Инфраструктура атаки включала множество C2-серверов. Основным источником загрузки вредоносного ПО служил домен "roscosmosmeet[.]online". Утилиты Meterpreter обращались к IP-адресу "77[.]105[.]161[.]30", а модули Trojan.Updatar.3 использовали домен "updating-services[.]com". Модули Trojan.Updatar.1 и .2 задействовали домены "adobe-updater[.]net" и "updatingservices[.]net".

Анализ артефактов в образцах вредоносного ПО, включая модули Trojan.Updatar.3 и программы-подделки, обнаруженные в сетевой инфраструктуре (но не использованные в этой атаке), позволил специалистам «Доктор Веб» с уверенностью атрибутировать атаку группировке Scaly Wolf. В отличие от атаки 2023 года, на этот раз Scaly Wolf не использовали MaaS-троян для первоначального доступа, полагаясь на фишинг и собственный бэкдор Updatar. Однако они активно применяли стандартные средства постэксплуатации: Metasploit (Meterpreter), утилиты туннелирования (Chisel, Frp) и RDP-доступ. Фишинговые письма рассылались с адресов на Mail.ru. Арсенал группировки, по данным анализа инфраструктуры, также включает трояны Trojan.Uploader.36875 (для выгрузки файлов) и BackDoor.Siggen2.5423 (VNC-бэкдор), а также программы-подделки, показывающие ложные сообщения об удалении защитного ПО, результатах сканирования Windows Defender или необходимости «системных настроек для стабильности Windows», фактически запуская вредоносные команды.

Эксперты «Доктор Веб» подчеркивают, что инцидент наглядно демонстрирует гибкость и настойчивость современных APT-группировок. Scaly Wolf использовали фишинг, эксплуатацию отсутствия защиты на отдельных узлах, закрепление с помощью собственных и готовых инструментов (включая разрешенные по умолчанию утилиты администрирования) и попытки отключить встроенные защитные механизмы. Для обеспечения надежной защиты предприятий, особенно в стратегических отраслях, критически важно не только наличие антивирусных решений, но и их тщательная настройка (выходящая за рамки параметров по умолчанию), регулярное обновление операционных систем и приложений, а также повышенная осведомленность пользователей о фишинговых угрозах. Упорство, с которым Scaly Wolf в течение двух лет атакуют одну и ту же цель, свидетельствует о высокой ценности информации, хранящейся в машиностроительном секторе.

IPv4

• 77.105.161.30

Domains

• adobe-updater.net
• doc-mil.ru
• e97861mi.beget.tech
• etti-deti.online
• etti-deti.ru
• roscosmosmeet.online
• roscosmosmeet.ru
• updating-services.com
• updatingservices.net

SHA1

• 08e2edeea11515c5c83a9d14d723d29939549978
• 1041f2df7770456e3759a86f7db3cd9b29fb6a39
• 23873bf2670cf64c2440058130548d4e4da412dd
• 26df8e86faa6ee9c19a22b9ac35dd08983e794af
• 27daaa589d76c8e6a7190d63cfc6daea4281ee4b
• 2eeb94fd24b66284f5e2f19ec6b284255d1a4c0d
• 462653d8b96c6ee9cca5c09b2955588e5af40256
• 535374b9391410798ee9490eade689996809bc12
• 5e9934c1ed5da62dc7d05e5c2a9d364dbb06d3a6
• 602751b9f1cd94813163fcfe3cab64c7d2a3a64c
• 64ee90631ecf47d5d0f1916007f96069083292cc
• 65ffe173a0f48711531c1cc8155d32c55569facb
• 7902b08fb184cfb9580d0ad950baf048a795f7c1
• 7e4add7c7135fc091a4ae2452e5683ad4f883e86
• 856225319df6fbb1ff3ea2b9e418a83fbec300d9
• 903283f46df39c46d3be506fd99fdf61b6f0edeb
• 98f90f98efa163f2d79877284d30947d7c079b43
• 9e1486417007f84cb76999ec95231362a7daf840
• a9d356b851ca2942925d937e02f6a7b09881b6c9
• b385e11c70b81ddcd594ac0929fb7882a8354af3
• b463f775a28e134615984d58f774c80575f002af
• bb9d5c2d31ca7711a5e1c87d429dc495f9fc45db
• d58d987989d1f44effb4bb29d06efb1c51f66718
• d7bfa3b87e6458c8e3a901779ac76adaca0cc0ce
• dc6ba17b27e6611489c5c52f8956bc5a45001ecd
• e0800e803c00db69a06caa68d5889fccc8080772
• e324c7490dc287168c2de66021f02e7d999d8538
• e517577a8e2166335fa1b640578fd8a1cb353c6d
• f49fa6e6bef00cd00bc31fcf4f019fdf82c28fd3

• Trojan.Updatar_pdf