🌚Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.
Как это было
Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:
🟦обфусцированный вредоносный AutoIt-скрипт, 🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1, 🟦документ формата PDF.
После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.
🌚Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.
Как это было
Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:
🟦обфусцированный вредоносный AutoIt-скрипт, 🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1, 🟦документ формата PDF.
После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.
"Russians are really disconnected from the reality of what happening to their country," Andrey said. "So Telegram has become essential for understanding what's going on to the Russian-speaking world." The Security Service of Ukraine said in a tweet that it was able to effectively target Russian convoys near Kyiv because of messages sent to an official Telegram bot account called "STOP Russian War." But because group chats and the channel features are not end-to-end encrypted, Galperin said user privacy is potentially under threat. Telegram, which does little policing of its content, has also became a hub for Russian propaganda and misinformation. Many pro-Kremlin channels have become popular, alongside accounts of journalists and other independent observers. Oh no. There’s a certain degree of myth-making around what exactly went on, so take everything that follows lightly. Telegram was originally launched as a side project by the Durov brothers, with Nikolai handling the coding and Pavel as CEO, while both were at VK.
from us
