Sticky Werewolf APT IOCs - Part 3

security

Компания Morphisec Labs обнаружила новую фишинговую кампанию, направленную на авиационную промышленность и связанную с Sticky Werewolf, группой киберугроз, подозреваемой в связях с геополитикой и/или хактивизмом.

Sticky Werewolf проводит фишинговую кампанию с использованием вредоносных LNK-файлов, замаскированных под легитимные документы, такие как повестка дня собрания или список рассылки. После того как жертва нажимает на LNK-файлы, они вызывают такие действия, как добавление записи в реестр для сохранения, отображение ложного сообщения и копирование изображения с сетевого ресурса. LNK-файлы также выполняют CypherIT Loader/Crypter, который является вариантом известного криптера, используемого различными угрозами для доставки вредоносной полезной нагрузки. CypherIT Loader/Crypter извлекает файлы в каталог %LocalAppData%\Microsoft\Windows\INetCache и запускает обфусцированный пакетный скрипт. Этот пакетный сценарий выполняет такие операции, как отсрочка выполнения, изменение имен файлов и конкатенация файлов. Он также запускает исполняемый файл AutoIt со скомпилированным сценарием в качестве аргумента. Выполненный AutoIT-скрипт обладает возможностями антианализа, антиэмуляции, персистенции и отсоединения, что позволяет внедрить полезную нагрузку и обойти решения безопасности и попытки анализа.

Активный с апреля 2023 года, Sticky Werewolf ранее атаковал государственные организации в России и Беларуси, фармацевтическую компанию и российский научно-исследовательский институт, занимающийся микробиологией и разработкой вакцин. Morphisec Labs считает, что группа, скорее всего, имеет геополитические и/или хактивистские связи. Хотя географическое происхождение и местонахождение группы остаются неясными, недавние методы атак указывают на намерения шпионажа и утечки данных.

Indicators of Compromise

IPv4

  • 79.132.128.47
  • 94.156.8.166
  • 94.156.8.211

Domains

  • document-cdn.org

SHA256

  • 03ee2011ad671b1781015024ea53edfbff92c28c2b123bba02d6a6f462e74105
  • 05880ff0442bbedc8f46076ef56d4d1ffeda68d9ef26b659c4868873fa84c1a9
  • 1301ec3006ad03742bfaef047aa434320aa0e725a99be5d6be27b955a814fcf4
  • 217196571088cfd63105ae836482d742befcb7db37308ce757162c005a5af6ab
  • 3ccbd8bd7424506b26491e5ff5ff55b000adaab1074ccf3b7452d0883f668040
  • 9eddffbef4d9d7329d062db0a93c933104d00f12106bf91fa3b58e8f8b19aa41
  • c3efbac8ebffcf3d8178ce23e59f3b4978f5a91bf93773889870d45cc1b554b0
  • ce2b6d3aad07d3dec2b24f676cc9d2022bab5a086c7e773f9cfa3e7b7dc6d66a
  • d6e6c786b793b46a1ee9b18b058e045d0aa1c83aa2b6aa493637f611d654d957
  • d973e7854f10b4d0a1060e55022dceadc51d038cee85d05e2c2c2fd3b40a42be

 

Комментарии: 0