Comments 13
А можно сначала объяснить, что значит это имя "Mysterious Werewolf", указанное аж в заголовке?
Скорее всего хакерская группировка, как и Sticky Werewolf. Даже метод захода на атаку один и тот же: электронное письмо на предприятие с содержанием "важный_документ_21.21.2021".
Минутка занимательной таксономии наших волков и оборотней.
Существуют разные подходы к формированию названий группировок. Кто-то ориентируется на географическиое происхождение группировки, кто-то на ее мотивацию, кто-то и на то, и на то, а кто-то просто дает произвольные названия. Они нужны для того, чтобы кластеризовать активность.
У нас принято наименование на основе мотивации злоумышленников: группировки, занимающиеся шипонажем - оборотни (werewolf), финансово-мотивированные хакеры - волки (wolf), хактивисты - гиены (hyena).
Что касается слова Mysterious. Обычно с названием волков или оборотней еще идет какой-то эпитет, который помогает отличать группировки между собой. Qartz, Sticky, Lone и т.д. Эти эпитеты мы выбираем из отличительных признаков группировок, но иногда это просто звучный эпитет, как в случае с Mysterious.
А как насчёт 7zip и других архиваторов, они не подвержены подобным атакам?
Думается мне, что запуск этого зловреда возможен, при неправильно настроенной системы безопасности:
- письмо с архивом не проверялось почтовым антивирусом,
- выданные пользователю права разрешают вносить изменения в системные каталоги ОС.
Ну и эксплуатация софта с известными уязвимостями, уже упоминалась, тоже недоработка службы безопасности.
А, собственно говоря, что он делает?
Ну, запускается он каждые 10 минут, и что? Сканирует папки и сеть? Связывается с шефом? Что-то куда-то кого-то посылает? Получает инструкции?
Дальше-то что? Или это банальный бэкдор?
Организации часто пренебрегают обновлением прикладного программного обеспечения, что позволяет злоумышленникам эффективно использовать даже те уязвимости, патчи для которых доступны продолжительное время.
Практически это проблема созданная самими политическими силами в действии - и методикой сертификации.
Для определенных вещей можно пользоваться только "отечественным" ПО, за исключением случаев где нет аналогов. Примером такого "отечественного" ПО является ОС AstraLinux, документооборот "Сфера", Консультант Плюс. и пр.
ПО сертифицируется для использования. Даже если сертификация открытого ПО и проходит, проходит она по _откомпилированным бинарным модулям_. После чего никаких изменений, патчей и т.д. невозможно - проверка как правило идёт по контрольным суммам. Сертификация стоит гигантских денег просто за то что кто-то держит у себя носитель с ПО 3-4 месяца и он не взорвется, не сгорит или не провялится сквозь землю.
Среди руководства разработчиков специального существует распространенная политика "нам программисты не нужны, мы возьмём инженера и обучим его сами, по книге 30 летней давности"., "программисты все только какие-то игрушки себе придумывают", " ПО и код никогда не нужно обновлять, никто так не делал раньше" (под "раньше " какправило понимаются 70-90е годы).
Требуется пояснительная бригада за винрар. Почему винрар запускает процесс cmd.exe по щелчку на документе PDF? Почему винрар вообще что-то запускает, когда должен разорхивировать открываемый файл в TEMP директорию и передать действие в OC, которая сопоставит расширение с программой по умолчанию, либо выдаст модальное окно с выбором программы?
Mysterious Werewolf атакуют российскую электронную промышленность через уязвимость в WinRAR