- 10,477
- 18
- 8 Ноя 2022
Промышленность, IT и финансы под прицелом: F.A.C.C.T. предупреждает о новой кампании вымогателей.
Эксперты по кибербезопасности из компании F.A.C.C.T. Threat Intelligence зафиксировали новую волну вредоносных рассылок от известной хакерской группы Werewolves. На этот раз злоумышленники нацелились на российские промышленные предприятия, телекоммуникационные и IT-компании, а также финансовые и страховые организации.
Согласно данным специалистов, вымогатели создали поддельный сайт крупного российского производителя спецтехники, скопировав содержимое оригинального портала с помощью программы HTTrack Website Copier. Затем киберпреступники разослали письма с темами «Досудебная претензия» и «Рекламация», содержащие вредоносные вложения, загружающие Cobalt Strike Beacon.
Атака осуществлялась следующим образом:
Отличительной чертой группировки является применение техники двойного давления: помимо вымогательства за расшифровку данных, они публикуют информацию о тех, кто отказался платить выкуп, на своем сайте.
В апреле текущего года вымогатели Для просмотра ссылки Войдиили Зарегистрируйся массовые рассылки на темы весеннего призыва и досудебных претензий.
Эксперты по кибербезопасности из компании F.A.C.C.T. Threat Intelligence зафиксировали новую волну вредоносных рассылок от известной хакерской группы Werewolves. На этот раз злоумышленники нацелились на российские промышленные предприятия, телекоммуникационные и IT-компании, а также финансовые и страховые организации.
Согласно данным специалистов, вымогатели создали поддельный сайт крупного российского производителя спецтехники, скопировав содержимое оригинального портала с помощью программы HTTrack Website Copier. Затем киберпреступники разослали письма с темами «Досудебная претензия» и «Рекламация», содержащие вредоносные вложения, загружающие Cobalt Strike Beacon.
Атака осуществлялась следующим образом:
- Жертва открывает вложенный документ «Рекламация.doc» (SHA256: da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2), который загружает RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
- На устройство загружается HTA (HTML Application): mshta Для просмотра ссылки Войди
или Зарегистрируйся -> hxxp://vlasta-s[.]ru/logista.hta. - HTA-файл выполняет команду PowerShell, распаковывающую и запускающую шелл-код Cobalt Strike Stager.
- Stager загружает Cobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.
Отличительной чертой группировки является применение техники двойного давления: помимо вымогательства за расшифровку данных, они публикуют информацию о тех, кто отказался платить выкуп, на своем сайте.
В апреле текущего года вымогатели Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
