Склонность награждать: шпионы Core Werewolf атаковали военные организации Беларуси и России

Специалистыкомпании F6 зафиксировали активность группировки шпионов Core Werewolf, направленную на военные организации Беларуси и России.

Core Werewolf — кибершпионская группа, которая активно атакует российские и белорусские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 года. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.

2 мая 2025 года на общедоступную онлайн-песочницу был загружен .eml файл. Электронное письмо было отправлено 29 апреля 2025 года с почтового ящика al.gursckj@mail[.]ru и содержало вложение с защищённым паролем архивом с названием «Списки_на_нагр.7z», который специалисты F6 отнесли к арсеналу группы Core Werewolf.

Внутри находился исполняемый файл «Списки на уточнение вс представляемых к награждению гос награды.exe», выполняющий роль дроппера. При запуске он распаковывает содержимое во временный каталог, одновременно инициируя отображение PDF-файла-приманки «Списки на уточнение вс представляемых к награждению гос награды.pdf» и CMD-скрипта, запускающего цепочку вредоносных действий.

Первым запускается файл crawl.cmd, который извлекает содержимое из ранее распакованного защищённого паролем архива и передаёт управление скрипту kingdom.bat. Этот скрипт создаёт конфигурационный файл ultravnc.ini для UltraVNC, в котором заранее задан пароль, включен перенос файлов, разрешено управление удаленным входом и отключен запрос на подключение. Затем вызывается mosque.bat, который завершает уже запущенные процессы UltraVNC, проверяет связь с C2 stroikom-vl[.]ru, и запускает VNC-клиент под видом Sysgry.exe.

Кстати, файлы-приманки в виде наградных списков уже неоднократно использовались в атаках этой