HomeNews* Um grupo cibernético avançado chamado Rare Werewolf realizou ataques na Rússia e na Comunidade dos Estados Independentes (CIS), visando principalmente os setores industrial e educacional.
Os atacantes utilizam ferramentas legítimas de terceiros e scripts PowerShell em vez de Malware feito sob medida, tornando a deteção mais difícil.
Emails de phishing entregam malware oculto dentro de arquivos protegidos por palavra-passe, que implementam software de mineração de criptomoedas e roubam dados do utilizador.
Centenas de utilizadores russos, incluindo os da Bielorrússia e do Cazaquistão, foram afetados. Os atacantes concentraram-se em roubar credenciais e permitir o acesso remoto.
Um grupo separado, DarkGaboon, tem utilizado o Ransomware LockBit 3.0 em ataques motivados financeiramente direcionados a organizações russas desde 2023.
Um grupo cibernético conhecido como Rare Werewolf foi associado a uma série de ataques cibernéticos visando a Rússia e outros países da CEI. Os atacantes usaram e-mails de phishing para entregar arquivos maliciosos, com o objetivo de obter acesso remoto, roubar credenciais e instalar um software de mineração de criptomoedas chamado XMRig. Estes ataques afetaram várias centenas de utilizadores, incluindo empresas industriais e escolas técnicas na Rússia, Bielorrússia e Cazaquistão.
Advertisement - De acordo com pesquisadores da Kaspersky**, o grupo evita malwares tradicionais, usando arquivos de comando e scripts PowerShell combinados com software legítimo para executar seus ataques. *"Uma característica distintiva desta ameaça é que os atacantes preferem o uso de software legítimo de terceiros em vez de desenvolver seus próprios binários maliciosos", afirmou a Kaspersky. Os atacantes enviavam e-mails de phishing com arquivos protegidos por palavra-passe contendo ficheiros executáveis, muitas vezes disfarçados de documentos, como ordens de pagamento.
Uma vez dentro do sistema da vítima, os atacantes instalaram software como o 4t Tray Minimizer, que esconde aplicativos em execução na bandeja do sistema. Também implementaram ferramentas para desativar o software antivírus e enviar dados roubados para contas de e-mail controladas por atacantes usando o programa legítimo Blat. A equipe usou o software de área de trabalho remota AnyDesk e scripts agendados para manter o acesso durante horas específicas. "Toda a funcionalidade maliciosa ainda depende do instalador, comando e scripts do PowerShell" disse a Kaspersky.
Lobisomem Raro—também conhecido como Ghouls Bibliotecários e Rezet—tem como alvo organizações na Rússia e na Ucrânia, com atividade notável desde 2019. A sua estratégia envolve aproveitar utilitários bem conhecidos para tornar a detecção e a atribuição mais difíceis.
Em um desenvolvimento separado, a Positive Technologies informou que o grupo motivado financeiramente DarkGaboon tem como alvo organizações russas desde meados de 2023. O grupo usa e-mails de phishing carregando arquivos de arquivo ou arquivos de proteção de tela do Windows para ativar o ransomware LockBit 3.0 e outros trojans de acesso remoto, como XWorm e Revenge RAT. Como observado pelo pesquisador Victor Kazakov, da Positive Technologies, "DarkGaboon não é um cliente do serviço LockBit RaaS e age de forma independente..." O grupo usa versões públicas do LockBit e ameaça vazar dados roubados online.
Essas atividades destacam as ameaças em curso às organizações na Rússia e nas regiões circundantes, com atacantes confiando em ferramentas de software comuns e legítimas para evitar a detecção e complicar a atribuição.
Artigos Anteriores:
Ant International, Deutsche Bank parceiros para explorar o lançamento de stablecoin
A SG Forge do SocGen lança stablecoin em dólar americano na Ethereum e Solana
Canary Capital Forma um Trust de Delaware para Potencial Injective (INJ) ETF
Mulheres Perdem 50 mil dólares em Esquemas de Cripto Após Clicar em Anúncios do PM no Facebook
A SEC propõe ‘Isenção de Inovação’ para impulsionar produtos de criptomoedas em cadeia
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Rare Werewolf APT Ataca a Rússia com Mineração de Cripto e Roubo de Dados
HomeNews* Um grupo cibernético avançado chamado Rare Werewolf realizou ataques na Rússia e na Comunidade dos Estados Independentes (CIS), visando principalmente os setores industrial e educacional.
Uma vez dentro do sistema da vítima, os atacantes instalaram software como o 4t Tray Minimizer, que esconde aplicativos em execução na bandeja do sistema. Também implementaram ferramentas para desativar o software antivírus e enviar dados roubados para contas de e-mail controladas por atacantes usando o programa legítimo Blat. A equipe usou o software de área de trabalho remota AnyDesk e scripts agendados para manter o acesso durante horas específicas. "Toda a funcionalidade maliciosa ainda depende do instalador, comando e scripts do PowerShell" disse a Kaspersky.
Lobisomem Raro—também conhecido como Ghouls Bibliotecários e Rezet—tem como alvo organizações na Rússia e na Ucrânia, com atividade notável desde 2019. A sua estratégia envolve aproveitar utilitários bem conhecidos para tornar a detecção e a atribuição mais difíceis.
Em um desenvolvimento separado, a Positive Technologies informou que o grupo motivado financeiramente DarkGaboon tem como alvo organizações russas desde meados de 2023. O grupo usa e-mails de phishing carregando arquivos de arquivo ou arquivos de proteção de tela do Windows para ativar o ransomware LockBit 3.0 e outros trojans de acesso remoto, como XWorm e Revenge RAT. Como observado pelo pesquisador Victor Kazakov, da Positive Technologies, "DarkGaboon não é um cliente do serviço LockBit RaaS e age de forma independente..." O grupo usa versões públicas do LockBit e ameaça vazar dados roubados online.
Essas atividades destacam as ameaças em curso às organizações na Rússia e nas regiões circundantes, com atacantes confiando em ferramentas de software comuns e legítimas para evitar a detecção e complicar a atribuição.
Artigos Anteriores: