SkyCloak: новая угроза от Vortex Werewolf атакует госсектор через фишинговые ловушки в Telegram

По данным исследователей, злоумышленники применяют фишинговые рассылки. Жертвам приходит сообщение со ссылкой, замаскированной под сервис загрузки файлов из Telegram. Однако переход по ней ведет на поддельную страницу, имитирующую процедуру восстановления доступа к аккаунту. Пользователя просят ввести номер телефона, код подтверждения из приложения и, при наличии, облачный пароль. В результате атакующие получают полный контроль над телеграм-аккаунтом жертвы. Для повышения правдоподобия на страницу иногда помещают размытый отвлекающий документ военной тематики.

После успешной "авторизации" инициируется загрузка ZIP-архива, например, с названием "Spisok-na-peremeshchenie.zip". Внутри находится LNK-файл, замаскированный под PDF-документ, и скрытый каталог с дополнительным архивом. При запуске ярлыка запускается цепочка вредоносных действий. Сначала PowerShell-скрипт ищет и распаковывает скрытый архив, содержащий полный набор инструментов для вторжения.

Ключевым компонентом является PowerShell-скрипт "totalQuerySignal". Он выполняет комплекс действий по обеспечению скрытого и устойчивого доступа. Прежде всего, скрипт проверяет окружение, подсчитывая количество ярлыков в папке недавних документов и запущенных процессов. Если их меньше заданных порогов, выполнение прекращается. Этот механизм позволяет вредоносной программе избегать анализа в виртуальных машинах и песочницах.

После проверки окружения скрипт удаляет следы начальной компрометации и обеспечивает постоянство (persistence) в системе. Для этого он создает в планировщике Windows две задачи. Одна задача запускает Tor, другая - SSH-сервер OpenSSH. Это позволяет злоумышленникам настроить скрытый удаленный доступ к зараженной системе через сеть Tor. Важно отметить, что для связи с командными серверами используются не публичные узлы Tor, а obfs4-мосты с включенной обфускацией трафика, что серьезно затрудняет его обнаружение сетевыми системами IDS/IPS.

Настроенный Tor Hidden Service пробрасывает порты для ключевых протоколов удаленного управления: RDP, SMB, SFTP и SSH. Таким образом, получив контроль, атакующие могут подключаться к системе жертвы анонимно, через Tor-сеть, используя аутентификацию по заранее подготовленным SSH-ключам. В завершение скрипт передает на командный сервер уникальный идентификатор скомпрометированной системы и ее onion-адрес в сети Tor, после чего злоумышленники получают возможность для полномасштабного удаленного управления.

Аналитики отмечают сходство Vortex Werewolf с другим известным кластером - Core Werewolf. Обе группы атакуют схожие цели в одном регионе, используют SSH для доступа и применяют отвлекающие документы. Ранее Vortex Werewolf также атаковал государственные и оборонные структуры Беларуси. Однако эксперты BI.ZONE пока не имеют достаточных данных для однозначной атрибуции этих кластеров к одной группе и рассматривают Vortex Werewolf как отдельную активность.

Исследование сетевой инфраструктуры показало, что кластер активен как минимум с декабря 2024 года. Злоумышленники используют для размещения фишинговых страниц сервис GitHub Pages, создавая отдельные репозитории под каждый домен, а также применяют Cloudflare. Эксперты напоминают, что киберпреступники часто злоупотребляют доверием к известным брендам, используя их айдентику в фишинговых рассылках. Однако компания-владелец бренда не несет ответственности за действия злоумышленников.

Данный инцидент демонстрирует растущую изощренность атак на критически важные объекты. Сочетание фишинга через популярный мессенджер, многоэтапной вредоносной нагрузки и использования продвинутых средств анонимизации представляет серьезную угрозу. Организациям рекомендуется усиливать осведомленность сотрудников о фишинговых угрозах и внедрять многофакторную аутентификацию везде, где это возможно, включая служебные аккаунты в мессенджерах.

IPv4 Port Combinations

• 103.17.154.137:443
• 129.153.78.39:2484
• 156.67.24.236:33333
• 156.67.24.239:33333
• 158.174.146.87:7800
• 176.169.236.210:4431
• 185.177.207.101:12346
• 185.177.207.103:12346
• 185.177.207.132:8443
• 185.177.207.18:30196
• 185.177.207.216:11216
• 185.177.207.62:40393
• 185.177.207.63:6340
• 188.116.26.254:23452
• 188.245.88.107:44536
• 190.62.5.156:49201
• 193.138.81.106:8443
• 198.98.53.149:443
• 24.134.5.121:8989
• 38.242.242.79:27751
• 45.76.185.188:4444
• 45.76.46.212:8443
• 5.22.221.14:3031
• 70.34.216.248:28509
• 72.10.162.51:12693
• 73.94.43.159:26820
• 77.128.112.133:587
• 78.159.118.224:19998
• 78.63.213.108:9130
• 82.117.243.191:3443
• 85.117.251.69:44821
• 86.206.9.78:12345
• 87.106.143.190:23188
• 87.106.159.211:25047
• 89.116.48.119:32278
• 95.179.192.8:8080

Domains

• biavid.info
• docs-telegram.guardedcloud.net
• documshare.org
• documtransfer.net
• gendalfgrey221.github.io
• guardedcloud.net
• icchtolkaio.github.io
• nieusoaps11.github.io
• robetsoalspa.github.io
• safedatabox.net
• sectgfiles.biavid.info
• telegram.guardedcloud.net
• telegram-files.trustedfiles.org
• telegram-share.documtransfer.net
• teleinfo.safedatabox.net
• tg-box.documshare.org
• tg-media.guardedcloud.net
• trustedfiles.org
• yankovskiy987.github.io

Onion Domains

• 2zrek3mkl72d5b6evpkx2rz2glzrltiorgblpfb2ttg6lacwlsdk4iqd.onion
• 3lfdhuojbznd4fmunkkzr2m5zbnaibwuyvenclsoxvapylqv4pdldqad.onion
• amvlfdftchgyoie7femnnivsfnqzizrljm5rbixgsxpzgdavdtkhtlad.onion
• clgkhqmtssx4dgvhq5r4kb4anid4n375d2z5mqspuob3iyqvzyrxhoqd.onion

URLs

• https://telegram-files.trustedfiles.org/?cuid=vG7LLN&cloud_access=E20340B73A&tuid=2bWqrF&hash=d3BdF6F9Bd&folder=520e66fe3F
• https://telegram-files.trustedfiles.org/?folder=009c027D11&tuid=1MM5Jx&cloud_access=f8CfeE6518&hash=a9D53e2Cd9&cuid=vG7LLN
• https://telegram-files.trustedfiles.org/?nash=2BC8BD579d&cloud_access=06c434ED64&tuid=efGVBj&folder=8057d1704f&cuid=3e12KE
• https://telegram-share.documtransfer.net/?folder=5f6a307A22&hash=4C90FCcEB9&cuid=VxBY1g&cloud_access=BEeB5A09Ad&tuid=2CbRT0
• https://tg-media.guardedcloud.net/?access_hash=ceFFc8F817&cuid=nghdRm&code=A824c7d9D3&tuid=SuCmHG

SHA256

• 1280cca4b520bfd018296c4d1645b7c9c8c7c4608752506285dad0e251b22e32
• 1ba396a8cd9af661e0a5ceb1107c787290cff3ab05b70a9c5154f4e040f716be
• 1cf423b7b55c2d7018262c847ba58e1955443e1d84ca0bca4f94f2a9cc5794d7
• 2727d521ef98815ba82b2c2cc504123db59e1e4df487e3d6253280d21d00020e
• 2a9b971c835e2ee5f190d068c602601fdaf718d8bfe085c2032d59a6f25ed082
• 36d104a18c1e966b11253eb637a452288cb94ce240ee6fff7c2d14d7ae8086ee
• 4111cda24ef547bc3296024cf94e0a0b43916c46d92f1d5c406ba241dcd6bb23
• 42910bf2aa4ac9d62e2b32e6fadc42f11bd7215fee492ecf72cfd6238965d066
• 44abef9297d6573674b27416435c891317cfb9de8753d075806d5777563e6cc2
• 558df469e8170f63da405ce42cf63900d81f0b38c3a70fa69e48b9aa11735345
• 6efdf511512be5e256951813f2008ce2c4572d6ef191c69a62b7555aa33255ac
• 76542efd8113416322268676c8c32fc900661fe17db68a1ac9c2bcdcd936a7a6
• 7ccf33529389ff080c1aaea1678c9f7a3546ab950670138f8a7f35c7638578cb
• 8339333e1a1a8babc3fd72542e8fda58d19dd096cf2463867ca0328348338570
• 85fba8ba8377974392b9147a2adf2d2955e9dfbb8d9e0659c7f90487b1105ae7
• 86b1e4e48d1d4ce1acf291b21c2ffa806bca9b6cad6a6519263fa1705486eb94
• 8f4836cca1850053e87a769a84baed3cdde060ad3fce26f101a20b37375835f1
• 8f9029a5d5351078fc2f0b5499557c0f969b337817947314e37b2c7407ae2300
• a5c5a64b2da18aac04ddaaa3cd82f09bbad661da4aaca785edcf4bac94cb520a
• ac8e6a47f795b6ea4bf1ddf2d4079337fd7d3798bcfe8773c28f9d429b83380b
• aeb3196090cb428bcea45e0cf24d2b53346e244b2115edb176da49ca912d8cdf
• b4195e7584ac97d9c444ee6292160c80f9c889e6cba27cc656506d3c5fcffd48
• de73c1b5597f091b5e42e5d5b4dc40a46ddee4682308f5bbe010a32ede57b111
• f27f0c47b708cabbc71e78eb28c4871834da0bc35c2693e145c01688d8e1bd13
• fc8a6cc400dd822b6f5fc40c85a547cf7f266169edddb84a90f4b3f25956318c