«Липкий оборотень» атакует российскую авиацию

11.06.2024

Автоматизированные скрипты помогают хакерам обойти защитные системы.

Исследователи в области кибербезопасности из компании Morphisec — это компания, специализирующаяся на кибербезопасности. Она предоставляет решения для защиты от вредоносных программ и атак хакеров. <br /> Основной продукт Morphisec — это платформа Morphisec Endpoint Threat Prevention, которая использует уникальный метод защиты от атак, называемый &quot;нулевым доверием&quot;. Этот метод предполагает, что любое подозрительное поведение программы или процесса должно быть автоматически остановлено, даже если этих программ нет в списках известных угроз.<br /> Компания работает с клиентами в различных отраслях, включая финансы, здравоохранение, производство и государственные учреждения. <br /> Morphisec имеет партнерские отношения с другими компаниями в области кибербезопасности, такими как Microsoft и McAfee. За свои инновационные продукты и решения компания неоднократно получала различные награды." data-html="true" data-original-title="Morphisec" >Morphisec раскрыли детали вредоносной активности группы Sticky Werewolf («Липкий оборотень»), связанной с кибератаками на предприятия в России и Беларуси.

Выявленные ранее атаки были нацелены на неназванную фармацевтическую компанию и российский исследовательский институт микробиологии и разработки вакцин. Теперь же основной удар на себя принял российский авиационный сектор.

«В предыдущих кампаниях Sticky Werewolf цепочка заражения начиналась с фишинговых писем, содержащих ссылку для скачивания вредоносного файла с таких платформ, как gofile.io», — рассказал исследователь безопасности Арнольд Осипов. «В последней кампании использовались архивные файлы с LNK-файлами, ведущими на полезную нагрузку, хранящуюся на WebDAV-серверах».

Sticky Werewolf — одна из многих групп, нацеленных на Россию и Беларусь, наряду с Cloud Werewolf, Quartz Wolf, Red Wolf и Scaly Wolf. Впервые группу задокументировали исследователи компании BI.ZONE — это российская компания, специализирующаяся в области кибербезопасности. Основанная в 2016 году, она предоставляет широкий спектр услуг и решений для защиты информации и инфраструктуры от киберугроз. <br /> <br /> Компания предлагает услуги в области прогнозирования и предотвращения кибератак, анализа уязвимостей, мониторинга событий и инцидентов, а также консультирования по вопросам кибербезопасности. <br /> <br /> BI.ZONE активно сотрудничает с организациями из различных отраслей, помогая им создавать надёжные стратегии и решения для минимизации рисков, связанных с киберугрозами." data-html="true" data-original-title="BI.ZONE" >BI.ZONE в октябре 2023 года. Считается, что Sticky Werewolf активна как минимум с апреля 2023 года.

Новая цепочка атак, наблюдаемая Morphisec, включает использование вложений RAR-архивов, которые при извлечении содержат два LNK-файла и отвлекающий PDF-документ.

Само письмо написано от имени АО «ОКБ Кристалл» — реальной существующей российской компании, специализирующейся на разработке и производстве микроэлектронных компонентов и систем, задействованных в самых разных отраслях российской промышленности.

Получателям письма предлагалось загрузить архив и запустить LNK-файлы в нём для получения повестки дня «предстоящей видеоконференции». Открытие любого из LNK-файлов запускает исполняемый файл, размещённый на WebDAV-сервере, что приводит к выполнению обфусцированного скрипта Windows.

Этот скрипт затем запускает AutoIt (произносится "АвтоИт") — это бесплатная программа для автоматизации действий на компьютере в Windows. С ее помощью можно написать скрипты, которые могут взаимодействовать с окнами, выполнять действия с мышью и клавиатурой, запускать программы, работать с файлами и папками, а также выполнять другие задачи.<br> <br> В то же время, из-за своей способности маскировать процессы, AutoIT может быть использован злоумышленниками для создания и распространения вредоносного ПО.<br>" data-html="true" data-original-title="AutoIt" >AutoIt-скрипт, который в конечном итоге внедряет финальную полезную нагрузку, обходя при этом программное обеспечение безопасности и избегая попыток анализа.

«Данный исполняемый файл — это самораспаковывающийся архив NSIS, который является частью ранее известного криптора CypherIT», — отметил Осипов. «Хотя оригинальный CypherIT больше не продаётся, текущий исполняемый файл — это его вариация, распространяемая сразу на нескольких хакерских форумах».

Цель данной кампании — доставить на устройства в целевых компаниях трояны удалённого доступа (RAT) и похитители информации, например, Rhadamanthys и Ozone RAT, тем самым скомпрометировав предприятия критически важных отраслей.

Изощренные попытки «Липкого оборотня» атаковать российскую авиапромышленность — чёткий сигнал о необходимости усилить кибербезопасность критической инфраструктуры. Хакерские группировки постоянно совершенствуют свои методы, поэтому своевременное внедрение ответных защитных мер является задачей первостепенной важности.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Niconico офлайн: хакеры взломали крупнейший видеохостинг Японии

Next Story

ZKTeco: 24 уязвимости ставят под удар безопасность атомных станций и заводов

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop