Кибершпионы Sticky Werewolf атакуют польские организации
Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT.
Начальный вектор атаки
12 февраля этого года в 15:28:33 UTC по веб-интерфейсу из Польши (г. Тшебница) на VirusTotal была загружена ссылка (URL):
hxxps://share-files[.]pl/Wezwanie_swiadka.pdf
Кстати, домен share-files[.]pl имеет польский домен первого уровня - ".pl".
Известно, что злоумышленники из группировки Sticky Werewolf в качестве первоначального вектора проникновения используют фишинговые письма, содержащие ссылку на загрузку вредоносного исполняемого файла. В рамках анализа данной атаки экспертам Threat Intelligence была доступна только ссылка hxxps://share-files[.]pl/Wezwanie_swiadka.pdf, которая должна содержаться в теле такого фишингового письма.
При переходе по ссылке hxxps://share-files[.]pl/Wezwanie_swiadka.pdf происходит переадресация на другой ресурс hxxps://store10[.]gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe-1994a349216c/Wezwanie_swiadka.pdf.exe и загружается исполняемый файл Wezwanie_swiadka.pdf.exe.
Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.
SFX-архив и полезная нагрузка
Файл Wezwanie_swiadka.pdf.exe представляет собой самораспаковывающийся архив (SFX), подготовленный в NSIS Installer. Wezwanie_swiadka.pdf.exe содержит файл-приманку Wezwanie_swiadka.pdf и исполняемый файл MicroWord.exe.
Стоит отметить, что злоумышленники могли скачать
Читать на habr.com
