Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν λεπτομέρειες για έναν παράγοντα απειλής, γνωστό ως Sticky Werewolf, ο οποίος έχει συνδεθεί με κυβερνοεπιθέσεις που στοχεύουν τη Ρωσία και τη Λευκορωσία.
Αυτές οι phishing επιθέσεις στόχευσαν μια φαρμακευτική εταιρεία, ένα ρωσικό ερευνητικό ινστιτούτο που ασχολείται με τη μικροβιολογία και την ανάπτυξη εμβολίων, καθώς και τον τομέα των αερομεταφορών, επεκτείνοντας έτσι την αρχική τους εστίαση από κυβερνητικούς οργανισμούς, σύμφωνα με έκθεση της Morphisec την περασμένη εβδομάδα.
Διαβάστε επίσης: Los Angeles Unified School District: Ερευνά ισχυρισμούς για κλοπή δεδομένων
“Σε προηγούμενες εκστρατείες, η αλυσίδα μόλυνσης ξεκινούσε με phishing email, που περιείχαν έναν σύνδεσμο για τη λήψη ενός κακόβουλου αρχείου από πλατφόρμες όπως το gofile.io,” δήλωσε ο ερευνητής ασφάλειας Arnold Osipov. “Αυτή η τελευταία καμπάνια χρησιμοποίησε αρχεία αρχειοθέτησης που περιείχαν αρχεία LNK, τα οποία παραπέμπουν σε ωφέλιμα φορτία αποθηκευμένα σε servers WebDAV.”
Το Sticky Werewolf είναι ένας από τους πολλούς παράγοντες απειλών που στοχεύουν τη Ρωσία και τη Λευκορωσία, όπως το Cloud Werewolf (γνωστός και ως Inception και Cloud Atlas), ο Quartz Wolf, ο Red Wolf (γνωστός και ως RedCurl), και ο Scaly Wolf. Τεκμηριώθηκε για πρώτη φορά από το BI.ZONE τον Οκτώβριο του 2023. Η ομάδα πιστεύεται ότι είναι ενεργή τουλάχιστον από τον Απρίλιο του 2023.
Προηγούμενες επιθέσεις που τεκμηριώθηκαν από την εταιρεία κυβερνοασφάλειας αξιοποίησαν μηνύματα ηλεκτρονικού ψαρέματος με συνδέσμους σε κακόβουλα ωφέλιμα φορτία, οδηγώντας στην ανάπτυξη του trojan απομακρυσμένης πρόσβασης NetWire (RAT), του οποίου η υποδομή καταργήθηκε στις αρχές του περασμένου έτους μετά από επιχείρηση επιβολής του νόμου.
Η νέα αλυσίδα επίθεσης που εντόπισε η Morphisec περιλαμβάνει τη χρήση ενός συνημμένου αρχείου RAR. Όταν το αρχείο αυτό εξαχθεί, περιέχει δύο αρχεία LNK και ένα έγγραφο PDF-δόλωμα, το οποίο παρουσιάζεται ως πρόσκληση για βιντεοδιάσκεψη και προτρέπει τους παραλήπτες να κάνουν κλικ στα αρχεία LNK για να λάβουν την ατζέντα της σύσκεψης και τη λίστα διανομής email.
Το άνοιγμα οποιουδήποτε από τα αρχεία LNK ενεργοποιεί την εκτέλεση ενός δυαδικού αρχείου φιλοξενημένου σε έναν WebDAV server, το οποίο ξεκινά μια ασαφή δέσμη ενεργειών των Windows. Οι ενέργειες αυτές είναι σχεδιασμένες να εκτελούν ένα σενάριο AutoIt, το οποίο τελικά εγχέει το τελικό ωφέλιμο φορτίο, παρακάμπτοντας ταυτόχρονα το λογισμικό ασφαλείας και τις προσπάθειες ανάλυσης.
Δείτε ακόμη: LockBit ransomware: Το FBI ανέκτησε πάνω από 7.000 κλειδιά αποκρυπτογράφησης
“Αυτό το εκτελέσιμο αρχείο είναι ένα αρχείο αυτοεξαγωγής NSIS, μέρος ενός προηγουμένως γνωστού κρυπτογράφου με την ονομασία CypherIT,” δήλωσε ο Osipov. “Ενώ ο αρχικός κρυπτογράφος CypherIT δεν πωλείται πλέον, το τρέχον εκτελέσιμο αρχείο είναι μια παραλλαγή του, όπως παρατηρήθηκε σε μερικά φόρουμ hacking.”
Ο τελικός στόχος της εκστρατείας είναι να παραδώσει RAT εμπορευμάτων και κακόβουλο λογισμικό κλοπής πληροφοριών όπως το Rhadamanthys και το Ozone RAT. «Αν και δεν υπάρχουν οριστικά στοιχεία που να δείχνουν μια συγκεκριμένη εθνική καταγωγή για την ομάδα Sticky Werewolf, το γεωπολιτικό πλαίσιο υποδηλώνει πιθανούς δεσμούς με μια φιλοουκρανική ομάδα κυβερνοκατασκοπείας ή hacktivists, αλλά αυτή η απόδοση παραμένει αβέβαιη», πρόσθεσε ο Osipov.
Η εξέλιξη αυτή έρχεται καθώς η BI.ZONE αποκάλυψε ένα σύμπλεγμα δραστηριοτήτων με την κωδική ονομασία Sapphire Werewolf, αποδίδοντάς το πίσω από περισσότερες από 300 επιθέσεις σε τομείς όπως η ρώσικη εκπαίδευση, κατασκευή, πληροφορική, άμυνα και αεροδιαστημική μηχανική, χρησιμοποιώντας το Amethyst, ένα παρακλάδι του δημοφιλούς SapphireStealer ανοιχτού κώδικα.
Διαβάστε περισσότερα: LastPass: Η πρόσφατη διακοπή οφειλόταν σε update του Google Chrome extension
Τον Μάρτιο του 2024, η ρωσική εταιρεία αποκάλυψε επίσης συμπλέγματα που αναφέρονται ως Fluffy Wolf και Mysterious Werewolf, τα οποία χρησιμοποίησαν δόλιες τεχνικές ψαρέματος για τη διανομή Remote Utilities, XMRig miner, WarZone RAT και μια προσαρμοσμένη κερκόπορτα με το όνομα RingSpy. «Το backdoor RingSpy επιτρέπει σε έναν hacker να εκτελεί εξ αποστάσεως εντολές, να λαμβάνει τα αποτελέσματά τους και να κατεβάζει αρχεία από δικτυακούς πόρους», σημειώνεται. “Ο server εντολών και ελέγχου του backdoor είναι ένα bot Telegram.”
Πηγή: thehackernews
