- 21,265
- 46
- 8 Ноя 2022
Пока одни ломали правительственную почту, другие готовили удар по госсектору через Telegram-ботов.
Команда BI.ZONE выявила новую волну кибератак на российский госсектор, стоящую за которой группировку условно обозначили как <strong>Cavalry Werewolf</strong>. По данным компании, в действиях этой группы прослеживаются явные пересечения с активностью YoroTrooper, а также с кластерами, отслеживаемыми под названиями SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk и Tomiris.
Основной вектор заражения — таргетированные фишинговые письма , оформленные как официальные сообщения от представителей правительства Киргизии. Главные цели — российские государственные структуры, а также организации в энергетике, добывающей промышленности и производственном секторе. BI.ZONE подчёркивает, что в некоторых случаях злоумышленники использовали не поддельные, а реальные скомпрометированные адреса электронной почты, включая аккаунт одного из регуляторов Киргизской Республики.
Во вложениях к таким письмам рассылались архивы RAR , содержащие малварь <strong>FoalShell</strong> или <strong>StallionRAT</strong>. Первая из них — облегчённая обратная оболочка, реализованная на Go, C++ и C#. Через неё атакующие могут запускать произвольные команды в среде <code>cmd.exe</code>. StallionRAT представляет собой более функционального «троянца» с поддержкой Go, PowerShell и Python. Он обеспечивает выполнение произвольных команд, загрузку дополнительных компонентов и передачу собранной информации через Telegram-бота .
Через этого бота операторы получают сведения о заражённых устройствах, управляют командой <code>/list</code>, запускают удалённое выполнение через <code>/go [DeviceID] [command]</code> и могут загружать файлы на систему жертвы через <code>/upload</code>. Кроме того, на скомпрометированных машинах были замечены вспомогательные инструменты типа ReverseSocks5 и ReverseSocks5Agent, а также команды, собирающие данные об окружении устройства.
Судя по артефактам, часть вредоносных файлов имела имена не только на английском, но и на арабском языке, что может свидетельствовать о более широком охвате операций Cavalry Werewolf за пределами России. BI.ZONE подчёркивает: «Группа активно тестирует новые инструменты и расширяет арсенал. Поэтому критически важно иметь быстрый доступ к информации о применяемых тактиках, иначе защитные меры быстро теряют актуальность».
Особое внимание исследователи уделили связям группы с Tomiris — ещё одной APT-структурой , которую Microsoft в прошлом году напрямую связала с Казахстаном, отнеся её к кластеру Storm‑0473. Таким образом, и у Cavalry Werewolf прослеживается потенциальная аффилированность с Республикой Казахстан, что усиливает гипотезу о региональном происхождении ряда операций.
BI.ZONE отмечает, что за последний год в Telegram-каналах и даркнете были опубликованы данные минимум 500 российских компаний, чьи системы оказались скомпрометированы. Среди них — учреждения торговли, финансы, образование и развлекательная индустрия. В 86% случаев атакующие получали доступ к публичным веб-приложениям, где затем устанавливали <code>gs-netcat</code> для постоянного доступа, а также размещали дополнительные веб-шеллы. Для извлечения данных активно применялись легитимные инструменты вроде Adminer, phpMiniAdmin и mysqldump.
Команда BI.ZONE выявила новую волну кибератак на российский госсектор, стоящую за которой группировку условно обозначили как <strong>Cavalry Werewolf</strong>. По данным компании, в действиях этой группы прослеживаются явные пересечения с активностью YoroTrooper, а также с кластерами, отслеживаемыми под названиями SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk и Tomiris.
Основной вектор заражения — таргетированные фишинговые письма , оформленные как официальные сообщения от представителей правительства Киргизии. Главные цели — российские государственные структуры, а также организации в энергетике, добывающей промышленности и производственном секторе. BI.ZONE подчёркивает, что в некоторых случаях злоумышленники использовали не поддельные, а реальные скомпрометированные адреса электронной почты, включая аккаунт одного из регуляторов Киргизской Республики.
Во вложениях к таким письмам рассылались архивы RAR , содержащие малварь <strong>FoalShell</strong> или <strong>StallionRAT</strong>. Первая из них — облегчённая обратная оболочка, реализованная на Go, C++ и C#. Через неё атакующие могут запускать произвольные команды в среде <code>cmd.exe</code>. StallionRAT представляет собой более функционального «троянца» с поддержкой Go, PowerShell и Python. Он обеспечивает выполнение произвольных команд, загрузку дополнительных компонентов и передачу собранной информации через Telegram-бота .
Через этого бота операторы получают сведения о заражённых устройствах, управляют командой <code>/list</code>, запускают удалённое выполнение через <code>/go [DeviceID] [command]</code> и могут загружать файлы на систему жертвы через <code>/upload</code>. Кроме того, на скомпрометированных машинах были замечены вспомогательные инструменты типа ReverseSocks5 и ReverseSocks5Agent, а также команды, собирающие данные об окружении устройства.
Судя по артефактам, часть вредоносных файлов имела имена не только на английском, но и на арабском языке, что может свидетельствовать о более широком охвате операций Cavalry Werewolf за пределами России. BI.ZONE подчёркивает: «Группа активно тестирует новые инструменты и расширяет арсенал. Поэтому критически важно иметь быстрый доступ к информации о применяемых тактиках, иначе защитные меры быстро теряют актуальность».
Особое внимание исследователи уделили связям группы с Tomiris — ещё одной APT-структурой , которую Microsoft в прошлом году напрямую связала с Казахстаном, отнеся её к кластеру Storm‑0473. Таким образом, и у Cavalry Werewolf прослеживается потенциальная аффилированность с Республикой Казахстан, что усиливает гипотезу о региональном происхождении ряда операций.
BI.ZONE отмечает, что за последний год в Telegram-каналах и даркнете были опубликованы данные минимум 500 российских компаний, чьи системы оказались скомпрометированы. Среди них — учреждения торговли, финансы, образование и развлекательная индустрия. В 86% случаев атакующие получали доступ к публичным веб-приложениям, где затем устанавливали <code>gs-netcat</code> для постоянного доступа, а также размещали дополнительные веб-шеллы. Для извлечения данных активно применялись легитимные инструменты вроде Adminer, phpMiniAdmin и mysqldump.
- Источник новости
- www.securitylab.ru
