Хакеры Core Werewolf атаковали оборонку РФ плохо детектируемым ПО

По данным компании Bi.Zone, хакерская группировка Core Werewolf осуществила атаки на оборонно-промышленные структуры России с использованием слабо обнаруживаемого программного обеспечения. Подразделение Threat Intelligence в Bi.Zone сообщило, что злоумышленники начали применять в новых операциях свой загрузчик, разработанный на языке программирования Autoit, что делает его обнаружение сложным.

Core Werewolf отправляли фишинговые электронные письма с ссылками, ведущими к RAR-архивам. Внутри них находились самораспаковывающиеся файлы (SFX) с вредоносным скриптом, интерпретатором и отвлекающим PDF-документом. При открытии пользователем архива содержимое SFX-файла автоматически распаковывалось в папку TEMP, после чего запускался загрузчик устанавливающий вредоносное ПО на зараженное устройство.

Уровень обнаружимости используемых инструментов постоянно повышается, поэтому преступники меняют свои методы для оставания незамеченными. Использование малопопулярных инструментов, таких как язык программирования Autoit, дает им преимущество перед системами безопасности.

Помимо этого, с момента июня текущего года группировка Core Werewolf начала использовать новые способы доставки вредоносных файлов через мессенджеры, особенно Telegram, помимо традиционной отправки через электронную почту.

Для защиты от таких атак российским компаниям рекомендуется использовать современные средства безопасности, способные обнаруживать вредоносное ПО, написанное на языке программирования Autoit.

Группировка Core Werewolf впервые была выявлена в атаках на Россию летом 2021 года.

Ранее ITinfo сообщало, что Илон Маск заявил, что новый имплант Neuralink, получивший название «Blindsight», позволит незрячим людям, даже тем, кто не видел с рождения, обрести зрение.