Pesquisadores de segurança cibernética divulgaram detalhes de um ator de ameaça conhecido como Sticky Werewolf, que tem sido associado a ataques cibernéticos contra entidades na Rússia e na Bielo-Rússia.
Os ataques de phishing visaram uma empresa farmacêutica, um instituto de investigação russo que lida com microbiologia e desenvolvimento de vacinas, e o sector da aviação, expandindo-se para além do seu foco inicial de organizações governamentais, disse a Morphisec num relatório na semana passada.
“Em campanhas anteriores, a cadeia de infecção começou com e-mails de phishing contendo um hyperlink para baixar um arquivo malicioso de plataformas como gofile.io”, disse o pesquisador de segurança Arnold Osipov. “Esta última campanha usou arquivos contendo arquivos LNK apontando para uma carga armazenada em servidores WebDAV.”
Sticky Werewolf, um dos muitos atores de ameaças que visam a Rússia e a Bielo-Rússia, como Cloud Werewolf (também conhecido como Inception e Cloud Atlas), Quartz Wolf, Pink Wolf (também conhecido como RedCurl) e Scaly Wolf, foi documentado pela primeira vez por BI.ZONE em outubro de 2023. Acredita-se que o grupo esteja ativo desde pelo menos abril de 2023.
Ataques anteriores documentados pela empresa de segurança cibernética aproveitaram e-mails de phishing com hyperlinks para cargas maliciosas que culminaram na implantação do trojan de acesso remoto (RAT) NetWire, cuja infraestrutura foi desativada no início do ano passado, após uma operação policial.
A nova cadeia de ataque observada pela Morphisec envolve o uso de um anexo de arquivo RAR que, quando extraído, contém dois arquivos LNK e um documento PDF falso, com este último alegando ser um convite para uma videoconferência e pedindo aos destinatários que cliquem no Arquivos LNK para obter a agenda da reunião e a lista de distribuição de e-mail.
A abertura de qualquer um dos arquivos LNK aciona a execução de um binário hospedado em um servidor WebDAV, o que leva ao lançamento de um script em lote ofuscado do Home windows. O script, por sua vez, é projetado para executar um script AutoIt que injeta a carga ultimate, ao mesmo tempo que contorna o software program de segurança e as tentativas de análise.
“Este executável é um arquivo autoextraível NSIS que faz parte de um criptografador anteriormente conhecido chamado CypherIT”, disse Osipov. “Embora o criptografador CypherIT unique não esteja mais sendo vendido, o executável atual é uma variante dele, como observado em alguns fóruns de hackers.”
O objetivo ultimate da campanha é fornecer RATs de commodities e malwares ladrões de informações, como Rhadamanthys e Ozone RAT.
“Embora não haja nenhuma evidência definitiva apontando para uma origem nacional específica para o grupo Sticky Werewolf, o contexto geopolítico sugere possíveis ligações com um grupo de ciberespionagem pró-ucraniano ou hacktivistas, mas esta atribuição permanece incerta”, disse Osipov.
O desenvolvimento ocorre no momento em que a BI.ZONE revela um cluster de atividades com o codinome Sapphire Werewolf que foi atribuído como responsável por mais de 300 ataques aos setores russos de educação, manufatura, TI, defesa e engenharia aeroespacial usando Amethyst, uma ramificação do common SapphireStealer de código aberto. .
A empresa russa, em março de 2024, também descobriu clusters conhecidos como Fluffy Wolf e Mysterious Werewolf que usaram iscas de spear-phishing para distribuir utilitários remotos, minerador XMRig, WarZone RAT e um backdoor personalizado chamado RingSpy.
“O backdoor RingSpy permite que um adversário execute comandos remotamente, obtenha seus resultados e baixe arquivos de recursos de rede”, observou. “O servidor do backdoor (comando e controle) é um bot do Telegram.”
