Специалисты F.A.C.C.T. обнаружили, что в последнее время группа Werewolves распространяет вредоносные электронные письма, направленные на российские промышленные компании, телекоммуникационные и IT-компании, а также финансовые и страховые организации. Злоумышленники создали поддельный сайт известного российского производителя спецтехники, скопировав содержимое подлинного портала с помощью программы HTTrack Website Copier. Единственным отличием стало доменное имя: вместо .com поддельный сайт использовал .ru. Вредоносные письма с темами «Досудебная претензия» и «Реклама» содержали вредоносные вложения, которые загружали Cobalt Strike Beacon.
Атака разворачивается в несколько этапов. Сначала жертва открывает вложение «Reclamation.doc», в котором загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882. После этого на устройство жертвы загружается HTA-файл, который выполняет команду PowerShell, распаковывает и инициирует шелл-код Cobalt Strike Stager. Он, в свою очередь, загружает Cobalt Strike Beacon, который содержит водяной знак (987654321) и адрес командно-контрольного (C&C) сервера (poopy.aarkhipov.ru).
Вредоносные письма рассылаются с адреса [email protected], и официальный сайт Курганского завода спецтехники уже выпустил предупреждение об этих письмах. Для заманивания жертв злоумышленники используют тему досудебных претензий, как и в начале прошлого месяца. При более глубоком анализе прикрепленного файла Claims.doc выясняется, что он загружает RTF-файл с эксплойтом, направленным на известную уязвимость CVE-2017-11882 в Microsoft Office, которая до сих пор часто используется в атаках.
Indicators of Compromise
Domains
- poopy.aarkhipov.ru
URLs
- http://vlasta-s.ru/logista.hta
- https://iplis.ru/laydowngrenade.jpeg
Emails
SHA256
- da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2
