ГлавнаяНовости* Продвинутая кибер-группа под названием Rare Werewolf провела атаки в России и Содружестве Независимых Государств (CIS), в основном нацеливаясь на промышленный и образовательный сектора.
Атакующие используют легитимные сторонние инструменты и скрипты PowerShell вместо вредоносного ПО, созданного на заказ, что усложняет его обнаружение.
Фишинговые электронные письма доставляют вредоносное ПО, скрытое внутри архивов с паролем, которое устанавливает программное обеспечение для майнинга криптовалюты и крадет данные пользователей.
Сотни российских пользователей, включая тех, кто в Беларуси и Казахстане, были затронуты. Нападающие сосредоточились на краже учетных данных и обеспечении удаленного доступа.
Отдельная группа, DarkGaboon, с 2023 года использовала LockBit 3.0 Ransomware в финансово мотивированных атаках на российские организации.
Кибергруппа, известная как «Редкий оборотень», была связана с серией кибератак, нацеленных на Россию и другие страны СНГ. Злоумышленники использовали фишинговые электронные письма для доставки вредоносных файлов с целью получения удаленного доступа, кражи учетных данных и установки программного обеспечения для майнинга криптовалюты под названием XMRig. От атак пострадали несколько сотен пользователей, в том числе на промышленных предприятиях и техникумах России, Белоруссии и Казахстана.
Реклама - По словам исследователей Kaspersky, группа избегает традиционных вредоносных программ, вместо этого используя командные файлы и скрипты PowerShell в сочетании с законным программным обеспечением для выполнения своих атак. «Отличительной чертой этой угрозы является то, что злоумышленники предпочитают использовать легитимное стороннее программное обеспечение, а не разрабатывать собственные вредоносные двоичные файлы», — заявили в «Лаборатории Касперского». Злоумышленники рассылали фишинговые письма с защищенными паролем архивами, содержащими исполняемые файлы, часто замаскированные под документы, такие как платежные поручения.
Оказавшись в системе жертвы, злоумышленники устанавливали программное обеспечение, такое как 4t Tray Minimizer, которое скрывает запущенные приложения в системном трее. Они также развернули инструменты для отключения антивирусного программного обеспечения и отправки украденных данных на контролируемые злоумышленниками учетные записи электронной почты с помощью легитимной программы Blat. Команда использовала программное обеспечение для удаленного рабочего стола AnyDesk и запланированные скрипты для обеспечения доступа в определенные часы. «Вся вредоносная функциональность по-прежнему зависит от установщика, команд и сценариев PowerShell», — сказал Касперский.
Редкий вервольф — также известный как библиотекарь гуля и Резет — ранее нацеливался на организации в России и Украине, с заметной активностью с 2019 года. Их стратегия включает использование известных утилит для усложнения обнаружения и атрибуции.
В отдельном сообщении Positive Technologies сообщила, что финансово мотивированная группа DarkGaboon с середины 2023 года нацелена на российские организации. Группа использует фишинговые электронные письма с архивными файлами или файлами заставки Windows для активации программы-вымогателя LockBit 3.0 и других троянов удаленного доступа, таких как XWorm и Revenge RAT. Как отмечает исследователь Positive Technologies' Виктор Казаков, «DarkGaboon не является клиентом сервиса LockBit RaaS и действует самостоятельно...»* Группа использует публичные версии LockBit и угрожает утечкой украденных данных в Интернете.
Эти действия подчеркивают продолжающиеся угрозы для организаций в России и соседних регионах, при этом злоумышленники полагаются на общие, легитимные программные инструменты, чтобы избежать обнаружения и усложнить атрибуцию.
Предыдущие статьи:
Ant International, Deutsche Bank партнеры для исследования запуска стейблкоина
SG Forge от SocGen запускает стейблкоин в долларах США на Ethereum, Solana
Canary Capital создает траст в Делавэре для потенциального Injective (INJ) ETF
Женщины теряют 50 000 долларов в крипто-мошенничествах после нажатия на объявления в Facebook от PM
SEC предлагает «Экстракцию Инноваций», чтобы стимулировать крипто-продукты на блокчейне
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Редкий волк-оборотень APT наносит удар по России с помощью Крипто Майнинга и атак на кражу данных
ГлавнаяНовости* Продвинутая кибер-группа под названием Rare Werewolf провела атаки в России и Содружестве Независимых Государств (CIS), в основном нацеливаясь на промышленный и образовательный сектора.
Оказавшись в системе жертвы, злоумышленники устанавливали программное обеспечение, такое как 4t Tray Minimizer, которое скрывает запущенные приложения в системном трее. Они также развернули инструменты для отключения антивирусного программного обеспечения и отправки украденных данных на контролируемые злоумышленниками учетные записи электронной почты с помощью легитимной программы Blat. Команда использовала программное обеспечение для удаленного рабочего стола AnyDesk и запланированные скрипты для обеспечения доступа в определенные часы. «Вся вредоносная функциональность по-прежнему зависит от установщика, команд и сценариев PowerShell», — сказал Касперский.
Редкий вервольф — также известный как библиотекарь гуля и Резет — ранее нацеливался на организации в России и Украине, с заметной активностью с 2019 года. Их стратегия включает использование известных утилит для усложнения обнаружения и атрибуции.
В отдельном сообщении Positive Technologies сообщила, что финансово мотивированная группа DarkGaboon с середины 2023 года нацелена на российские организации. Группа использует фишинговые электронные письма с архивными файлами или файлами заставки Windows для активации программы-вымогателя LockBit 3.0 и других троянов удаленного доступа, таких как XWorm и Revenge RAT. Как отмечает исследователь Positive Technologies' Виктор Казаков, «DarkGaboon не является клиентом сервиса LockBit RaaS и действует самостоятельно...»* Группа использует публичные версии LockBit и угрожает утечкой украденных данных в Интернете.
Эти действия подчеркивают продолжающиеся угрозы для организаций в России и соседних регионах, при этом злоумышленники полагаются на общие, легитимные программные инструменты, чтобы избежать обнаружения и усложнить атрибуцию.
Предыдущие статьи: