Bi.Zone: хакеры Core атаковали оборонку РФ с помощью плохо детектируемого ПО
Хакерская группировка Core Werewolf атаковала российские оборонно-промышленные организации и субъекты критической информационной инфраструктуры. Около месяца назад злоумышленники стали использовать в своих операциях новый загрузчик собственной разработки, написанный на непопулярном языке программирования Autoit, что усложнило его детектирование. Об этом "Газете.Ru" сообщил руководитель подразделения Threat Intelligence в компании Bi.Zone.
Представители Core Werewolf рассылали фишинговые письма со ссылками, по которым находились RAR-архивы. Внутри тех, в свою очередь, находились самораспаковывающиеся файлы (SFX). Каждый из них содержал вредоносный скрипт (программный код, – "Газета.Ru)", необходимый для его исполнения легитимный интерпретатор (позволяет запускать код как программу без предварительной компиляции – "Газета.Ru"), а также отвлекающий документ в формате PDF. Если пользователь открывал архив, чтобы посмотреть "документы", содержимое SFX-файла автоматически извлекалось в папку для хранения временных файлов (TEMP). Затем с помощью интерпретатора запускался загрузчик, сервис, который устанавливал вредоносное ПО на скомпрометированное устройство.
"Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы. Чем реже инструмент используется в атаках, как в данном случае язык Autoit, тем больше у злоумышленников шансов, что средства защиты не смогут его распознать", – сказал "Газете.Ru" Скулкин.
С июня этого года группировка также стала экспериментировать со способами доставки вредоносных файлов. Если раньше Core Werewolf рассылали RAR-архивы исключительно по e-mail в фишинговых письмах, то теперь целевые организации начали получать сообщения с вредоносными вложениями в мессенджерах, чаще всего в Telegram.
Для защиты от атак Core Werewolf российским компаниями рекомендовали использовать актуальные средства безопасности, умеющие работать с ПО, написанным на языке программирования Autoit.
Впервые Core Werewolf была замечена в атаках на РФ летом 2021 года.