Главная страница » Индикаторы компрометации
0
15 часов
Индикаторы компрометации

Троянец Rare Werewolf: хакеры превращают легитимные программы в оружие

APT

Злоумышленники все чаще используют тактику Living off the Land (LOTL), что буквально означает "жизнь за счет земли". Её суть заключается в эксплуатации легитимного программного обеспечения и встроенных функций операционных систем для достижения вредоносных целей. Этот подход позволяет эффективно маскироваться в системе, поскольку активность программ вроде curl.exe или установщика WinRAR редко вызывает подозрения.

Описание

Недавний анализ троянца от малоизвестной, но технически продвинутой APT-группировки Librarian Ghouls, также известной как Rare Werewolf, показал исключительную изощренность этой методики. Их инструмент представляет собой не отдельный вредоносный файл, а сложный многоступенчатый конвейер, где каждый этап использует либо легальные утилиты, либо действия, имитирующие легитимные процессы.

Цепочка заражения начинается с файла, упакованного с помощью установщика Smart Install Maker. После распаковки в системе появляются четыре ключевых файла: any.bat, pdf2.pdf, url.txt и find.exe. Примечательно, что последний является легитимной копией curl.exe - популярного инструмента для передачи данных. Файл pdf2.pdf содержит лишь платежное поручение без вредоносных скриптов, выполняя роль отвлекающего маневра.

Далее происходит генерация find.cmd через множественные скрытые вызовы cmd.exe. Каждый вызов добавляет в скрипт по одной команде echo, постепенно формируя полноценный вредоносный сценарий. Затем параллельно запускаются any.bat и find.cmd. Первый скрипт устанавливает пароль для AnyDesk, а второй загружает дополнительные компоненты с контролируемого злоумышленниками домена winformation[.]ru.

Критически важным этапом становится выполнение bat.bat, который содержит основную логику атаки. Скрипт начинает с отключения спящего режима системы - классический прием для обеспечения постоянной работы вредоносных компонентов. Затем с помощью утилиты blat.exe на контролируемый злоумышленниками почтовый ящик отправляется конфигурационный файл AnyDesk, содержащий данные для удаленного доступа.

Последовательно извлекаются и запускаются инструменты для сбора данных: dc.exe, wbpv.exe и mlpv.exe. Их работа сохраняется в текстовые файлы, которые затем передаются через SMTP-сервер злоумышленников. Особое внимание уделяется краже паролей из браузеров и данных почтовых клиентов, что демонстрирует целевой характер атаки.

Финальная стадия включает масштабную зачистку следов: удаляются временные файлы, добавляются правила в брандмауэр для порта AnyDesk, полностью отключается защита Windows. В результате система остается с установленным AnyDesk для удаленного доступа, но без явных следов вредоносной активности.

Реверс-инжиниринг основного загрузчика показал, что ключевой механизм скрытности реализован через структуру STARTUPINFO с установленным флагом wShowWindow в значение SW_HIDE. Это объясняет "невидимое" создание окон cmd.exe во время генерации вредоносных скриптов.

Данный случай наглядно демонстрирует, что современные киберугрозы эволюционировали от примитивных вирусов к сложным многоэтапным операциям. Борьба с такими атаками требует смещения акцента с сигнатурного анализа на мониторинг поведения системы и выявление подозрительных комбинаций легитимных процессов. Как показало расследование, даже самые безобидные системные утилиты могут стать инструментом полной компрометации инфраструктуры.

Индикаторы компрометации

URLs

  • winformation.ru/bk.jpg
  • winformation.ru/driver.jpg
  • winformation.ru/pas.jpg

Domains

  • winformation.ru

Domain Port Combinations

  • mail.qinformation.ru:587

Emails

  • out@qinformation.ru
  • out@qoffice.site

SHA256

  • 145f54387d6457a71e0116a9dd2e11ad9b26e5eb2ec8db92be34c8c96b5eb6ba
  • 36541fad68e79cdedb965b1afcdc45385646611aa72903ddbe9d4d064d7bffb9
  • 45540346c5f1492f3d599dd5673e8f0d8646e4e3b0b8bfff4c041cd00e3b0b9d
  • 582e6ece505463d0786a61c46b46ac543e8173bd4fcae894fd8eebb4f41c968f
  • 720f1e85807b8786e5601d348174b468e5fe45bd3066897227fb6f6dc4750225
  • a6ff418f0db461536cff41e9c7e5dba3ee3b405541519820db8a52b6d818a01e
  • ac7f226bdf1c6750afa6a03da2b483eee2ef02cd9c2d6af71ea7c6a9a4eace2f
  • bb243113d236f823abd1839025190e763fe34c40da4949b77558995cc1a07625
  • bc7bd27e94e24a301edb3d3e7fad982225ac59430fc476bda4e1459faa1c1647
  • c26912a76a9fec48d4b454bcd11c03f734ec4b67ad94ced9e3fe425f28c00ead
  • c763038641c40ec2a8105cbafaacabde9c2f501fefd117fa46bedae848f8d3a2
  • ce3a6224dae98fdaa712cfa6495cb72349f333133dbfb339c9e90699cbe4e8e4
  • da1f75d8606f719ea2d46e073bc908c6d8c378dface9f815fe2789fd75984669
  • e613d07619b28f896b4adf24d888cf52814fa2eb89f261f2e4715485954251b7
  • f835e15aceb0e995ead000641019aec2162f74d45c5732cee9e3c77d13fa038a
Комментарии: 0
Похожие записи
0
09.06.2025
Индикаторы компрометации

Librarian Ghouls: Новая волна атак на российские компании с использованием легального ПО

APT
APT-группа "Librarian Ghouls", также известная как "Rare Werewolf" и "Rezet", продолжает целенаправленно атаковать организации в России и странах СНГ. По данным исследователей, злоумышленники остаются
0
25.08.2025
Индикаторы компрометации

Глобальная криптоджекинг-кампания TA-NATALSTATUS: хакеры годами скрытно майнят на уязвимых серверах

information security
Аналитики компании CloudSEK выявили масштабную и высокоорганизованную кампанию по криптоджекингу, которую с 2020 года ведет группировка TA-NATALSTATUS. В 2025 году активность злоумышленников достигла глобальных