18.04.2024 | Орден Мужества обернулся ловушкой: Core Werewolf против 102-й базы РФ в Гюмри |
Специалисты F.A.C.C.T. выявили на VirusTotal вредоносный файл, загруженный из армянского города Гюмри. Файл ассоциируется с кибершпионской группой Core Werewolf и является самораспаковывающимся архивом 7zSFX. Он предназначен для незаметной инсталляции и активации программы удаленного доступа UltraVNC. Предполагается, что основной целью атаки является 102-я российская военная база в Гюмри. Цель подтверждается использованием в качестве ловушки документа с запросом на награждение военных «Орденом Мужества», отличившихся в ходе СВО.
Документ-приманка perevod.pdf Технические аспекты вредоносного файла включают в себя детали исполняемого файла PE32, который запускает серию команд, включающие изменение, копирование и запуск обфусцированного Batch-файла для установки и настройки UltraVNC, а также создание задач в планировщике Windows для установления постоянного управления зараженными системами.
Содержимое архива По содержимому архива специалисты определили, что атака могла начаться до 15 апреля 2024 года. Среди прочего, в архиве находится документ-приманка «perevod.pdf», содержащий список военнослужащих, представленных к госнаградам. Также используется конфигурационный файл «UltraVNC.ini» с подробными настройками для подключения к серверу через C2-домен «mailcommunity[.]ru». Сетевая инфраструктура злоумышленников была зарегистрирована годом ранее и совпадает с инфраструктурой, применяемой в предыдущих атаках группы. А недавнее продление доменов указывает на продолжение кибершпионской активности. |
Проверить безопасность сайта