🌚 Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации

Forwarded from BI.ZONE

🌚

Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации

Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.

Как это было

Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:

🟦обфусцированный вредоносный AutoIt-скрипт,
🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1,
🟦документ формата PDF.

После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.

Подробнее о новых кампаниях Core Werewolf

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/us/cyberguerre.com/2380

649 viewsOct 3 at 14:22

group-telegram.com/cyberguerre/2380

Create: 2024-10-03
Last Update: 2024-10-04 10:35:29

🌚 Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации

Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.

Как это было

Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:

🟦обфусцированный вредоносный AutoIt-скрипт,
🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1,
🟦документ формата PDF.

После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.

Подробнее о новых кампаниях Core Werewolf

Telegram | DID YOU KNOW?

🌚 Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации