Государственные организации в России и Белоруссии подверглись атаке новой хакерской группировки под названием Sticky Werewolf, как сообщили эксперты по информационной безопасности "Известиям".
Методика её действий включает в себя распространение вредоносных документов, которые после открытия заражают компьютеры. Среди уже пострадавших находятся администрация Красноярского края, Брестский исполнительный комитет, а также Савеловский суд, от имени которого были отправлены поддельные исковые документы.
Эксперты подчеркнули, что группировка успешно использует социальную инженерию в сочетании с мощным программным обеспечением, и рекомендуют быть внимательными к любым электронным письмам, поступающим на рабочую почту.
Процесс хакерской атаки включает в себя несколько этапов. Sticky Werewolf, действующая как минимум с апреля, провела более 30 атак на государственные организации. Для создания фишинговых писем группировка использует коммерческое вредоносное программное обеспечение (ПО).
Они генерируют ссылки для мошеннических писем с использованием сервиса IP Logger, который собирает информацию о пользователях, такую как время перехода, IP-адрес, страна и город, версия браузера и операционная система. Это позволяет группировке отсеивать системы, не представляющие интереса, и направлять атаки на приоритетные. Эксперты отмечают, что ссылки в письмах ведут на вредоносные файлы, замаскированные под документы Word или PDF.
Руководитель управления киберразведки BI. ZONE, Олег Скулкин, поясняет, что при открытии файла жертва видит ожидаемый контент, в то время как в фоновом режиме устанавливается вредоносное программное обеспечение NetWire RAT. Это позволяет атакующим собирать информацию о системе, записывать данные о нажатиях клавиш, видео с экрана и веб-камеры, а также осуществлять другие шпионские действия.
NetWire скрывается во временной папке под видом легитимного приложения, используя софт для обфускации и тем самым затрудняя его обнаружение. Эксперты также предполагают, что группировка может действовать со стороны Украины, учитывая их распространение шпионского ПО в органах Союзного государства.