Главная страница » Индикаторы компрометации
0
16 часов
Индикаторы компрометации

Silent Werewolf наносит удар: фишинг-атаки на госорганы России с использованием вредоносных ярлыков

APT

Киберпреступная группировка, известная под названием Silent Werewolf, активизировала фишинговую кампанию против органов государственной власти и субъектов критической информационной инфраструктуры (КИИ) Российской Федерации. Эксперты по кибербезопасности зафиксировали целенаправленные рассылки электронных писем, которые маскируются под служебную переписку. Основной целью атак является несанкционированное проникновение в корпоративные сети для последующего хищения данных или проведения диверсионных операций.

Описание

По данным аналитиков, письма содержат вложения в виде архивных файлов ZIP. Для повышения доверия жертв злоумышленники используют нейтральные и деловые названия архивов, такие как «запланированный_визит.zip», «измерения.zip» или «обновление_сентябрь_2025.zip». Внутри каждого архива находятся два файла. С одной стороны, это легитимный исполняемый файл, выполняющий роль приманки и не вызывающий подозрений у пользователя. С другой стороны, второй файл представляет собой вредоносный ярлык с расширением «.lnk», который и является основным инструментом атаки.

Механизм заражения начинается в тот момент, когда сотрудник, получивший письмо, извлекает архив и запускает вредоносный ярлык. Внешне этот файл может выглядеть как документ или ярлык к легитимной программе. Однако при его запуске в фоновом режиме исполняется скрытый сценарий или загружается вредоносная нагрузка (malicious payload) с удаленного сервера, контролируемого хакерами. Этот процесс позволяет злоумышленникам получить удаленный доступ к системе, обойти базовые средства защиты и закрепиться (persistence) в сети для дальнейшего продвижения.

Использование файлов-ярлыков для доставки вредоносного кода является классической, но по-прежнему эффективной техникой. Она часто обходит простые антивирусные фильтры, поскольку сам файл «.lnk» не содержит исполняемого кода, а лишь содержит команду для его запуска. Успех атаки напрямую зависит от социальной инженерии, эксплуатирующей доверие сотрудников к внутренней переписке и привычку открывать вложения, связанные с рабочими процессами.

Группа Silent Werewolf ранее не была широко известна, однако ее деятельность указывает на высокий уровень подготовки и целенаправленный характер. Выбор в качестве целей государственных структур и объектов КИИ позволяет отнести ее к категории APT (Advanced Persistent Threat, рус. - продвинутая постоянная угроза). Такие группы обычно действуют методично, имеют значительные ресурсы и ставят перед собой стратегические задачи, такие как шпионаж или дестабилизация работы важных систем.

Специалисты рекомендуют организациям, особенно из государственного сектора, усилить меры кибергигиены. В первую очередь, необходимо проводить регулярное обучение сотрудников по распознаванию фишинговых писем, обращая внимание на подозрительные адреса отправителей, неожиданные вложения и грамматические ошибки в тексте. Технические меры должны включать блокировку исполняемых файлов и скриптов, поступающих из электронной почты, а также использование систем обнаружения вторжений IDS (Intrusion Detection System) и предотвращения вторжений IPS (Intrusion Prevention System).

Кроме того, крайне важно внедрить принцип минимальных привилегий, чтобы ограничить ущерб в случае компрометации одной учетной записи. Анализ сетевой активности и подозрительных исходящих соединений также может помочь выявить зараженные рабочие станции на ранней стадии. Эксперты подчеркивают, что защита от подобных атак требует комплексного подхода, сочетающего технологические решения и постоянную осведомленность персонала.

Данный инцидент в очередной раз демонстрирует, что даже простые методы социальной инженерии остаются мощным оружием в арсенале киберпреступников, особенно при атаках на государственные институты.

Индикаторы компрометации

Domains

  • intertencorp.com
  • vv7group.org
  • zentourtech.org

URLs

  • https://intertencorp.com/ncorp/?at=ftggrm&alc=owEQ5cNKUNA5D
  • https://vv7group.org/contnt/?xt=boj&ne=imteoQnPDF7RobwGH
  • https://zentourtech.org/data/?ami=bmvw&mi=Jx6oqi8mTI6q

MD5

  • 0e0149872bba0e3339f35ed32a455a1c
  • 2f6daae210158b3ee8aa31e5c40cd9e9
  • 58213605a86e99dd4a3a7b9ebe806e32
  • 7f63ea139c40e0ec057b1f89d206051d
  • b084cc4f8cbb9fb36cb68e415ee95e8e
  • ca26a7ae7d2fe4f8cf440c3b35208485

SHA1

  • 568b9d5e81b166fe8f5efbc59a42ee9f8eb7d918
  • 779d3c59602d78b6b564c5edaa4b481745f4aafb
  • 7e1a7eebaa0d46cb94c38a6f08b64093bbe72bad
  • 7fe6167a6bae0ea0d9446d45f435d20d22a18a84
  • d866b049101fef10fc26fcb8a6719b16ff21accb
  • e96b88a2d6bd71b07073c2e813c220b4cbc5f662

SHA256

  • 2ec02422fcb2085b7ddbaefb805368bcbeaad66c2e41791391ad629ef6932ba5
  • a71310c4b575038c8e94cbe6871a8ce5bc82edfd4b3ce1694eac381bcb69c95f
  • b11d6e62a7ff0b74b4a16e7d16886cac5c771de8ade7e05f47975b14ade76b6e
  • d7c36d2ad9491b126016538d92236f333be9a96b127c7059290441ba7931853f
  • f5b45c328ba1bb5d0269f6dfecead484e38a3ed1f364184ec81637f677375e05
  • fec4b4249732eab44f19a0ff71029b154cd4bce4a6a04ccf942fdd83648fffaf
Комментарии: 0
Похожие записи
0
23.05.2025
Индикаторы компрометации

Silent Werewolf использует новый способ атаки на российские и молдавские организации

security
Группа Silent Werewolf была замечена в использовании новых загрузчиков в атаках на российские и молдавские организации, чтобы ограничить отслеживание вредоносной полезной нагрузки и затруднить изучение группы.
0
31.07.2025
Уязвимости

Критическая уязвимость в SUSE Manager позволяет удалённое выполнение команд с правами root

vulnerability
Компания SUSE столкнулась с серьёзной угрозой безопасности в своём продукте SUSE Manager - обнаружена уязвимость, позволяющая злоумышленникам выполнять произвольные команды с максимальными привилегиями без какой-либо аутентификации.