Специалисты компании F6 зафиксировали активность группировки шпионов Core Werewolf, направленную на военные организации Беларуси и России.
Core Werewolf — кибершпионская группа, которая активно атакует российские и белорусские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 года. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.
2 мая 2025 года на общедоступную онлайн-песочницу был загружен .eml файл. Электронное письмо было отправлено 29 апреля 2025 года с почтового ящика al.gursckj@mail[.]ru и содержало вложение с защищённым паролем архивом с названием «Списки_на_нагр.7z», который специалисты F6 отнесли к арсеналу группы Core Werewolf.
Внутри находился исполняемый файл «Списки на уточнение вс представляемых к награждению гос награды.exe», выполняющий роль дроппера. При запуске он распаковывает содержимое во временный каталог, одновременно инициируя отображение PDF-файла-приманки «Списки на уточнение вс представляемых к награждению гос награды.pdf» и CMD-скрипта, запускающего цепочку вредоносных действий.
Первым запускается файл crawl.cmd, который извлекает содержимое из ранее распакованного защищённого паролем архива и передаёт управление скрипту kingdom.bat. Этот скрипт создаёт конфигурационный файл ultravnc.ini для UltraVNC, в котором заранее задан пароль, включен перенос файлов, разрешено управление удаленным входом и отключен запрос на подключение. Затем вызывается mosque.bat, который завершает уже запущенные процессы UltraVNC, проверяет связь с C2 stroikom-vl[.]ru, и запускает VNC-клиент под видом Sysgry.exe.
Кстати, файлы-приманки в виде наградных списков уже неоднократно использовались в атаках этой группировки, наряду с файлами, содержащими координаты различных военных объектов, и прочими документами.
17 апреля 2025 года аналитики F6 был обнаружен ещё один вредоносный исполняемый файл — undoubtedly.exe, загруженный на сервис VirusTotal. Этот файл также был приписан группе Core Werewolf и, вероятно, применялся при атаках на российские военные организации. Об этом свидетельствует извлечение дроппером PDF-документа «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf», содержащего в себе информацию военного характера.
Помимо PDF-файла, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с участием файлов exception.bat и divine.bat. В результате выполнялась проверка соединения с другим C2 — ubzor[.]ru, и запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.
Отчет на F6 Malware Detonation Platform
https://detonation.f6.security/Mh2soN0D4dhe9NCkYPvJOWODm/ru/
Сетевые индикаторы
ubzor[.]ru
stroikom-vl[.]ru
Файловые индикаторы
Sysgry.exe
749b3a68b9c5325d592822ee7c2c17ec
3ede6bb2df969432358a5883cf226971fde8b7d4
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24
conscience.cmd
cefabbc325c2aeb3c2e88d20397a7d64
8faee7472c4172c849ac5ed2123f0406e3c12877
b335fc5ec3efe3c85563be5360cb81fc72207df3f02f7868aaba2e78b93bf2b9
virus-v1.eml
3b8bdca40ecd1e6fc492d3c4cafe8c26
87552e5948e91a04915ebe7e609abbadf5c6c3c6
cd66fb278c3a1db38ec9f5b086a7f653c77702c060767221f9014da6d0acafd0
Списки_на_нагр.7z
5eac13df9b13ebb1ef4c814a5492fe8a
7d3abecf82dea7df2aaa581a01719190506fff82
5b87d9573e1d8260e1393e5111c5851f2423632f55242b48a8dfcb2daea689ac
crawl.cmd
e00f6193b73008a2a37b1b09cc8d644f
2552e0111fe7e314e371d7953b484ace9e170ff9
a1e8bcf235908069edc02f67545422df88c2add091fd98ba3c79f944b2c1e104
kingdom.bat
2eef9cc37c99f21c705adaf6cd683c88
c6e1b1c629ba27a8f93c69b84b6146c63925dd05
2deaf73f665adbd4d3a74b3d459ae5c062cec7e7cbef05a897db6fa569a8cf75
mosque.bat
eed79678821f69160938c4b3b143a216
bd078bfa475731fbec766e03808c85718fbc677f
655a020a58e39c32ab59a3829364c2b242cc7d814ba18ff9b59acd5b4d1a5b4d
Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf
2b949faa76109d6ef92832425b266142
fe2f4a305c3be3ff987c81d730230bc45d6f611d
ded2af765d23b75d728144a5b2832707305628aaf402f02f78fa5e7d5b08ddbb
exception.bat
600b1f4058852f7a48dc93313992e76e
514362a46812eaa8ee7182f1b706ad1511bb50ea
64b8d7fa8a77866b26e43f5811b718a32a26aaaa383859aa446ba578dd5ebe73
divine.bat
d4f8ff9c89ace22bdb4bbb706c78fdd6
43ad3071800b0e91040a28921506692939079973
4da95591d959a9bc261a7541bb6a8e9af37a5951ee617fa03b81cd175dfac700
cater.rar
ba5af030ec4febfe7035d464371c9aea
3f78dd7fc18a9c9bfe9663d9765074f1f944c75c
9d202d558096adeb10445ea447390341ade55a03c791fbf822021c0985e66436
exploit.rar
3e013ab71b7cab5f23535a6cc38c1182
7a2a338a0dae4446dde8859e99d23a382eee91f5
b7be191d10829072fed740d8974e5215c5320ff060e34315ef01b6968b16213a
Списки на уточнение вс представляемых к награждению гос награды.pdf
1d05e4420070469c4c1b51bc5da1df64
b927ef10309d890b4c7b94033b0d84d2f5cd7b8b
5e049066663450c0c3419152685066ad171b95ba18550d2b65f8029d3479d1b6
Списки на уточнение вс представляемых к награждению гос награды.exe
993e9a96d4f3eb33fa640ed998737311
b8e1c54440a1697450ff29db4416b3d7dbd39944
7fdfecb6cc1656d5682db28e8c78f435c2a6b1ce0d65284bee05e4dc58b97114
undoubtedly.exe
7e10f79cbef9aa40daf9c3728100ac4c
aa7393c003b511858a600cc3f052ae053f0f1360
a0f3dc3b8cd591a90a725c1e6871bfd5151a18f14aaa6ad26807c3b062252de6
