Хакеры создали ПО для нападения на российский ВПК. Атаки стало сложнее распознать
Хакерская группировка Mysterious Werewolf перешла на собственные инструменты для атак на российский ВПК. RingSpy — программа для удаленного доступа, способная скачивать файлы и выполнять другие команды злоумышленников. Доставляется она на компьютеры жертв популярным архиватором WinRAR, на поиск уязвимостей в котором хакерам не жалко времени.
Новые инструменты у хакеров
Группировка Mysterious Werewolf перешла на собственные инструменты для атак на российский военно-промышленный комплекс (ВПК), сообщили CNews в компании по управлению цифровыми рисками Bi.Zone. Для атак хакеры используют новый бэкдор RingSpy.
«Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре», — сказал Олег Скулкин, руководитель Bi.Zone Threat Intelligence.
Группировка Mysterious Werewolf активна как минимум с 2023 г. За это время она не менее трех раз инициировала атаки на предприятия российского ВПК.
«Волчий» метод
Чтобы проникнуть в инфраструктуру, злоумышленники использовали фишинг и уязвимость WinRAR CVE-2023-38831.
Преступники рассылали от имени регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал «официальное письмо», WinRAR автоматически скачивал вредоносный файл.
На устройство жертвы устанавливался оригинальный бэкдор RingSpy, который управляется через бот в Telegram.
RingSpy — программа для удаленного доступа, которая позволяет злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать с него файлы.
По словам Скулкина это вредоносное ПО выступает вместо агента Athena фреймворка Mythic, который Mysterious Werewolf применяли в предыдущих атаках: «В ноябре 2023 г. группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение».
Уязвимость WinRAR
За архиватором WinRAR стоит российский программист Евгений Рошал, выпустивший первую его версию в апреле 1995 г. Это один из самых известных и распространенных архиваторов в мире — у него около полумиллиарда пользователей. Поэтому у хакеров есть интерес находить уязвимости в этой и других популярных программах.
В WinRAR периодически находятся как мелкие, так и критические уязвимости, но разработчики стараются оперативно устранять их. CVE-2023-40477, например, закрыли в августе 2023 г. всего через несколько дней после ее обнаружения.
CVE-2023-38831 — это уязвимость нулевого дня. Числовой маркер ей присвоила 15 августа 2023 г. корпорация MITRE, которая пополняет открытую базу уязвимостей.
По информации Group-IB, опубликованной на ее международном сайте, уязвимость WinRAR CVE-2023-38831 впервые была обнаружена исследователями Group-IB в июле 2023 г. на форумах по торговле криптовалютами. Злоумышленники смогли создать ZIP-архивы, которые служат носителями различных семейств вредоносных программ. После извлечения и запуска вредоносное ПО позволяло снимать деньги со счетов брокеров.