Госструктуры России и Беларуси под угрозой: кто стоит за атаками?

Группировка киберпреступников под названием Sticky Werewolf активно использует фишинговые письма для получения доступа к системам государственных организаций России и Беларуси. Согласно данным BI.ZONE , действия группировки отслеживаются с апреля 2023 года, и за это время было осуществлено не менее 30 успешных атак.

Злоумышленники применяют сервис IP Logger для создания ссылок в фишинговых письмах. Этот инструмент позволяет собирать информацию о пользователях, перешедших по ссылке, включая IP-адрес, местоположение и технические характеристики устройства. Такой подход облегчает процесс профилирования потенциальных жертв и позволяет сосредоточить усилия на наиболее ценных целях.

Особенностью тактики Sticky Werewolf является использование собственных доменных имен при создании ссылок, что делает их менее подозрительными для потенциальных жертв. По клику на такую ссылку пользователь загружает вредоносные файлы, маскирующиеся под документы Word или PDF. Несмотря на то что содержимое файла может выглядеть безобидно, например, как официальное письмо от МЧС, в фоновом режиме на устройство устанавливается вредоносное ПО NetWire RAT. Это программное обеспечение предоставляет злоумышленникам доступ к данным системы, включая запись с веб-камеры и микрофона.

Для маскировки своей активности и затруднения обнаружения, группировка использует протектор Themida, обеспечивающий обфускацию вредоносного кода.