F.A.C.C.T. обнаружил новые атаки проукраинских кибершпионов Sticky Werewolf

После новогодних праздников APT-группировка Sticky Werewolf пыталась атаковать российские научно-производственные предприятия. На этот раз кибершпионы отправляли фейковые фишинговые письма от имени Минпромторга России. Одно из таких фишинговых писем вечером 13 января перехватило и заблокировало решение по выявлению сложных киберугроз F.A.C.C.T. Managed XDR. Специалисты Центра кибербезопасности F.A.C.C.T. провели анализ рассылки.

Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения, НИИ и промышленные предприятия из сферы военно-промышленного комплекса России. Отмечались также атаки в Беларуси и Польше. В ĸачестве первоначального веĸтора атаĸ группа использует фишинговые рассылĸи по элеĸтронной почте с вредоносными вложениями, в которых часто встречаются таĸие инструменты, ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).

 Как действовали Sticky Werewolf

Злоумышленники отправляли вредоносные письма, в которых содержалось "поручение" проработать вопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы с привлечением осужденных.

В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. На то, что документ "липовый", указывает, среди прочего, несоответствие должности Дениса Мантурова (с мая 2024 года он уже не глава Минпромторга) и разные даты принятия "решения", о которых говорится в январской и декабрьской рассылках.
 
 Письмо содержит два вложения:

1) Сопроводительное письмо-приманку на бланке Минпромторга

2) Форма заполнения.rar — вредоносный архив, защищенный паролем: 2025.

Содержимое вложений

 Первое вложение