Хакерская группировка Core Werewolf применяет фишинг и легитимное ПО, чтобы получить полный контроль над системой пользователя, копировать файлы, отслеживать его действия. Цель группировки — получение конфиденциальной информации о российских критически важных объектах, рассказали Хабру в пресс-службе BI.ZONE.
Сейчас многие киберпреступники и АРТ-группировки используют легитимные средства, помогающие оставаться незамеченными. Одна из таких группировок, Core Werewolf, начала свою деятельность не позже августа 2021 года и продолжает атаки до сих пор. Эксперты киберразведки BI.ZONE проанализировали документы, используемые преступниками для отвлечения внимания жертв, и выяснили: основными целями шпионов стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой.
Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов .docx и .pdf (постановления и приказы, методические пособия, служебные записки и резюме). При открытии файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, часто используемое для удалённого подключения к компьютеру. Таким образом атакующие получали доступ к скомпрометированному устройству.
Для снижения рисков подобных атак необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, блокирующими вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведение легальных программ.
Подробности в материале BI.ZONE.
