HomeNews* Un groupe cybernétique avancé appelé Rare Werewolf a mené des attaques en Russie et dans la Communauté des États Indépendants (CIS), ciblant principalement les secteurs industriel et éducatif.
Les attaquants utilisent des outils tiers légitimes et des scripts PowerShell au lieu de logiciels malveillants sur mesure, rendant la détection plus difficile.
Les e-mails de phishing livrent des logiciels malveillants cachés à l'intérieur d'archives protégées par mot de passe, qui déploient des logiciels de minage de cryptomonnaie et volent des données utilisateur.
Des centaines d'utilisateurs russes, y compris ceux en Biélorussie et au Kazakhstan, ont été affectés. Les attaquants se sont concentrés sur le vol d'identifiants et l'activation de l'accès à distance.
Un groupe distinct, DarkGaboon, a utilisé LockBit 3.0 Ransomware dans des attaques à motivation financière ciblant des organisations russes depuis 2023.
Un cybergroupe connu sous le nom de Rare Werewolf a été lié à une série de cyberattaques visant la Russie et d’autres pays de la CEI. Les attaquants ont utilisé des e-mails de phishing pour livrer des fichiers malveillants, dans le but d’obtenir un accès à distance, de voler des informations d’identification et d’installer un logiciel de minage de crypto-monnaie appelé XMRig. Ces attaques ont touché plusieurs centaines d’utilisateurs, y compris ceux d’entreprises industrielles et d’écoles techniques en Russie, en Biélorussie et au Kazakhstan.
Publicité - Selon les chercheurs de Kaspersky, le groupe évite les logiciels malveillants traditionnels, utilisant plutôt des fichiers de commande et des scripts PowerShell combinés à des logiciels légitimes pour effectuer leurs attaques. « Une caractéristique distinctive de cette menace est que les attaquants préfèrent utiliser des logiciels tiers légitimes plutôt que de développer leurs propres binaires malveillants », a déclaré Kaspersky. Les attaquants ont envoyé des e-mails de phishing contenant des archives protégées par mot de passe contenant des fichiers exécutables, souvent déguisés en documents tels que des ordres de paiement.
Une fois à l’intérieur du système de la victime, les attaquants ont installé un logiciel tel que 4t Tray Minimizer, qui cache les applications en cours d’exécution dans la barre d’état système. Ils ont également déployé des outils pour désactiver les logiciels antivirus et envoyer des données volées à des comptes de messagerie contrôlés par des attaquants à l’aide du programme légitime Blat. L’équipe a utilisé le logiciel de bureau à distance AnyDesk et des scripts programmés pour maintenir l’accès à des heures spécifiques. « Toutes les fonctionnalités malveillantes reposent toujours sur l’installateur, la commande et les scripts PowerShell », a déclaré Kaspersky.
Rare Werewolf - également connu sous le nom de Librarian Ghouls et Rezet - a déjà ciblé des organisations en Russie et en Ukraine, avec une activité notable depuis 2019. Leur stratégie consiste à tirer parti d’utilitaires bien connus pour rendre la détection et l’attribution plus difficiles.
Dans un développement séparé, Positive Technologies a rapporté que le groupe DarkGaboon motivé financièrement cible les organisations russes depuis la mi-2023. Le groupe utilise des e-mails de phishing contenant des fichiers d’archives ou des fichiers d’économiseur d’écran Windows pour activer le ransomware LockBit 3.0 et d’autres chevaux de Troie d’accès à distance, tels que XWorm et Revenge RAT. Comme l’a noté Victor Kazakov, chercheur de Positive Technologies, « DarkGaboon n’est pas un client du service RaaS de LockBit et agit indépendamment..."* Le groupe utilise des versions publiques de LockBit et menace de divulguer les données volées en ligne.
Ces activités mettent en évidence les menaces persistantes auxquelles sont confrontées les organisations en Russie et dans les régions environnantes, les attaquants s'appuyant sur des outils logiciels communs et légitimes pour éviter la détection et compliquer l'attribution.
Articles Précédents :
Ant International, Deutsche Bank s'associent pour explorer le lancement d'une stablecoin
SG Forge de SocGen lance un stablecoin en dollar américain sur Ethereum, Solana
Canary Capital crée un trust au Delaware pour un potentiel ETF Injective (INJ)
Les femmes perdent 50 000 $ dans des escroqueries crypto après avoir cliqué sur des publicités Facebook PM
La SEC propose une ‘Exemption d'Innovation’ pour stimuler les produits crypto Onchain
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Rare Werewolf APT frappe la Russie avec des attaques de vol de données liées au Crypto Mining
HomeNews* Un groupe cybernétique avancé appelé Rare Werewolf a mené des attaques en Russie et dans la Communauté des États Indépendants (CIS), ciblant principalement les secteurs industriel et éducatif.
Une fois à l’intérieur du système de la victime, les attaquants ont installé un logiciel tel que 4t Tray Minimizer, qui cache les applications en cours d’exécution dans la barre d’état système. Ils ont également déployé des outils pour désactiver les logiciels antivirus et envoyer des données volées à des comptes de messagerie contrôlés par des attaquants à l’aide du programme légitime Blat. L’équipe a utilisé le logiciel de bureau à distance AnyDesk et des scripts programmés pour maintenir l’accès à des heures spécifiques. « Toutes les fonctionnalités malveillantes reposent toujours sur l’installateur, la commande et les scripts PowerShell », a déclaré Kaspersky.
Rare Werewolf - également connu sous le nom de Librarian Ghouls et Rezet - a déjà ciblé des organisations en Russie et en Ukraine, avec une activité notable depuis 2019. Leur stratégie consiste à tirer parti d’utilitaires bien connus pour rendre la détection et l’attribution plus difficiles.
Dans un développement séparé, Positive Technologies a rapporté que le groupe DarkGaboon motivé financièrement cible les organisations russes depuis la mi-2023. Le groupe utilise des e-mails de phishing contenant des fichiers d’archives ou des fichiers d’économiseur d’écran Windows pour activer le ransomware LockBit 3.0 et d’autres chevaux de Troie d’accès à distance, tels que XWorm et Revenge RAT. Comme l’a noté Victor Kazakov, chercheur de Positive Technologies, « DarkGaboon n’est pas un client du service RaaS de LockBit et agit indépendamment..."* Le groupe utilise des versions publiques de LockBit et menace de divulguer les données volées en ligne.
Ces activités mettent en évidence les menaces persistantes auxquelles sont confrontées les organisations en Russie et dans les régions environnantes, les attaquants s'appuyant sur des outils logiciels communs et légitimes pour éviter la détection et compliquer l'attribution.
Articles Précédents :