Новости Шпионы Sticky Werewolf атакуют российский телеком

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.109
Репутация
11.695
Реакции
61.894
RUB
50
В начале текущего месяца APT-группа Sticky Werewolf провела атаку на российского телеком-провайдера.


За два дня, 2 и 3 января, злоумышленники разослали на адреса сотрудников компании порядка 250 поддельных писем, нацеленных на засев RAT-трояна.

QD-ED414BYydI2mSayiG5EW_3ZD0Xm8y3IS4zZwHPE0qohVjnIoTIOIhZ1g3CedL4bRvBQQd1DREgGYz95ZKL5Xu0d1cv5WMGbQqwWrqx-OXeI1VpNguMwrHuIIH22ARsX2P6RTBDbIi9PIM5ww2zvq7f1LTF5guVtS5Y6Lb2LmLOwyHy2aOhtR865-qpIkoH_kSm2uZvvVV1WnMgZaqkz80Cq_XDcS0rjl6QepUOcb3_m1Y09gfaBWcfKroER34ADeBwAWqy8aQua3Z7i1PI5M5Vxbinbh7V5XuhQMdoJK_cwElG0uIdaO5eocgFPGCvj1hXNAUWqHVVTUtYFtQ9kk6CIkB4IzO1T6nF-ErSaOU-JJZpBU9_djSoAUMkCzXf7PP6VcKzDVmNrkOq1mxQnH6JJrd3x4i2Vp4rqva1bMDsM2IQGfORFl8b1cia4Mg3_TXnqaX8DbUkuVGitpmUHOwSukbjUW9qHQ1DeiSOwN-eq3XEhHQZRKS8mMvXpj2S7yKQAitDIeaPaqT4OcK61R2UJikH_Q5lx8owUrfI1z0v4ApUQIG9uc09UHolbMHdHhnFFwSlGubUvVjql-Z-MR5TsoPJ0rB1HOq2ePkiqFe9VcbYZewsxVfaQAFkSPd_fhLIFeFRXngdvWOKJU5znd0ZNndGdGqVVM2qCsTVXNIusVKAi8Nh1W8rFClKkIvUz7UVWcZffrWGG-HhlejWLKwB28RS4L5Z_-yQWJUe8f-sCIalhYVodTU-WpsGhJxSTDMAkTnRAwVvaQfqGlBqNA4nhuvH_q-GJhoR8ZaaVczNoIt3AaAtyL1tQVkXDzO_v5r0dwelWaTknEr7h_TfsVwSgdKr8wDEPErGOjlQq_UsZrU5x32c5RbZwtD2ObbtvtGIRYODnQvND4EI9S0AXC87xEc3B1kHlO2LK5X0jLD_IIHwWEAyFXz5VbgYwyjmnpY2GHcuDbUGikNjc


К счастью, XDR-система F.A.C.C.T. успешно перехватила и заблокировала вредоносные имейл-сообщения, написанные от имени ФСБ России. Анализ показал, что по вставленной в письмо ссылке загружается Windows-троян удаленного доступа Darktrack RAT.

image1novaya_ataka_sticky_werewolf.png


Фейк можно сразу определить по адресу бесплатной почты @mail.ru в строке отправителя, а также по заключительной фразе, неуместной в данном контексте (ФСБ «заранее благодарит»??). Фальшивый запрос — загружаемый по ссылке файл с двойным расширение .pdf.exe — распознают как вредоносный треть антивирусов из коллекции VirusTotal (22/69 по состоянию на 6 января).

Скрытый в нем вредонос детектируется заметно лучше (41/66 на 10 января). В декабре F.A.C.C.T. зафиксировала аналогичные атаки Sticky Werewolf на российскую фармкомпанию и схожий по профилю НИИ. Кибершпионы тогда прикрывались другими именами: МЧС (в первом случае) и Минстроя.

 
Сверху Снизу