🌚Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.
Как это было
Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:
🟦обфусцированный вредоносный AutoIt-скрипт, 🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1, 🟦документ формата PDF.
После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.
🌚Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.
Как это было
Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:
🟦обфусцированный вредоносный AutoIt-скрипт, 🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1, 🟦документ формата PDF.
После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.
The last couple days have exemplified that uncertainty. On Thursday, news emerged that talks in Turkey between the Russia and Ukraine yielded no positive result. But on Friday, Reuters reported that Russian President Vladimir Putin said there had been some “positive shifts” in talks between the two sides. The regulator said it has been undertaking several campaigns to educate the investors to be vigilant while taking investment decisions based on stock tips. Such instructions could actually endanger people — citizens receive air strike warnings via smartphone alerts. The perpetrators use various names to carry out the investment scams. They may also impersonate or clone licensed capital market intermediaries by using the names, logos, credentials, websites and other details of the legitimate entities to promote the illegal schemes. "We're seeing really dramatic moves, and it's all really tied to Ukraine right now, and in a secondary way, in terms of interest rates," Octavio Marenzi, CEO of Opimas, told Yahoo Finance Live on Thursday. "This war in Ukraine is going to give the Fed the ammunition, the cover that it needs, to not raise interest rates too quickly. And I think Jay Powell is a very tepid sort of inflation fighter and he's not going to do as much as he needs to do to get that under control. And this seems like an excuse to kick the can further down the road still and not do too much too soon."
from tw