Кибершпионы Core Werewolf атакуют российскую военную базу в Армении

Кибершпионы из Core Werewolf попытались атаковать российскую военную базу в Армении? Специалисты Threat Intelligence компании F.A.C.C.T. утверждают, что обнаружили на платформе VirusTotal загруженный из Армении г. Гюмри вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа - UltraVNC. По словам экспертов, предполагаемой целью атаки может являться 102-я российская военная база. На это указывают следующие факты: - в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе "Ордену Мужества" военнослужащих, отличившихся в ходе проведения СВО; - вредоносный файл был загружен на VirusTotal из г. Гюмри Армения , в котором дислоцируется 102-ая российская военная база. Core Werewolf PseudoGamaredon — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года.

Хаккеры пытались атаковать 102-я российскую военную базу в Армении Специалисты по кибербезопасности F.A.C.C.T. бывшая Group-IB обнаружили на платформе VirusTotal вредоносный файл, предполагаемой целью атаки которого является 102-я российская военная база в Армении, сообщила пресс-служба компании. Вредоносный файл был загружен на VirusTotal из Гюмри Армения , где дислоцируется база. В качестве документа-приманки использовалось якобы представление к госнаградам, в том числе ордену Мужества, военнослужащих, отличившихся в ходе «военной спецоперации» на Украине. В F.A.C.C.T. уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf PseudoGamaredon , которая с 2021 года атакует объекты оборонно-промышленного комплекса и критической информационной инфраструктуры в России. В марте 2024-го, в частности, Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения, а в начале апреля — российский оборонный завод. В своей вредоносной деятельности группа использует программное обеспечение UltraVNC. Глава отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Дмитрий Купин уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении могла начаться до 15 апреля 2024 года. - ПОДПИСЫВАЙТЕСЬ

В Армении зафиксировали атаку на 102 военную базу Специалисты по кибербезопасности FACCT бывшая Group-IB обнаружили на платформе VirusTotal вредоносный файл, предполагаемой целью которого является 102-я российская военная база в Армении. По данным пресс-службы компании, вредоносный файл был загружен на платформу VirusTotal из Гюмри, где находится база. В качестве приманки использовался фейковый документ о награждении государственными наградами военнослужащих, отличившихся в ходе "военной спецоперации" на Украине, в том числе орденом Мужества. В FACCT уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf PseudoGamaredon , которая с 2021 года атакует военно-промышленные комплексы и важные информационные инфраструктуры в России. В частности, в марте 2024 года Core Werewolf атаковал российский научно-исследовательский институт, занимающийся разработкой вооружений, а в начале апреля — российский оборонный завод. Группа использует программное обеспечение UltraVNC для своей вредоносной деятельности. Дмитрий Купин, руководитель отдела анализа вредоносного кода департамента анализа угроз FACCT, уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для тайной установки и запуска легальной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении, скорее всего, началась еще до 15 апреля 2024 года.

Специалисты по кибербезопасности F.A.C.C.T. бывшая Group-IB обнаружили на платформе VirusTotal вредоносный файл, предполагаемой целью атаки которого является 102-я российская военная база в Армении, сообщила пресс-служба компании. Вредоносный файл был загружен на VirusTotal из Гюмри Армения , где дислоцируется база. В качестве документа-приманки использовалось якобы представление к госнаградам, в том числе ордену Мужества военнослужащих, отличившихся в ходе «военной спецоперации» на Украине. В F.A.C.C.T. уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf PseudoGamaredon , которая с 2021 года атакует объекты оборонно-промышленного комплекса и критической информационной инфраструктуры в России. В марте 2024-го, в частности, Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения, а в начале апреля — российский оборонный завод. В своей вредоносной деятельности группа использует программное обеспечение UltraVNC. Глава отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Дмитрий Купин уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении могла начаться до 15 апреля 2024 года.

Cегодня появилась информация, что Российские миротворцы покидают Нагорный Карабах. Источник, знакомый с ситуацией, поясняет следующее: Кибершпионы Core Werewolf не связаны с Арменией. Ранее они активно атаковали российские объекты ВПК, а теперь вдруг появились в кавказском регионе. Cкорее всего, это неспроста, с учётом сегодняшних новостей. В целом, происходящее свидетельствует о повышении кибершпионской активности.

Кибершпионы из Core Werewolf попытались атаковать российскую военную базу в Армении? Специалисты Threat Intelligence компании F.A.C.C.T. утверждают, что обнаружили на платформе VirusTotal загруженный из Армении г. Гюмри вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа - UltraVNC. По словам экспертов, предполагаемой целью атаки может являться 102-я российская военная база. На это указывают следующие факты: - в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе "Ордену Мужества" военнослужащих, отличившихся в ходе проведения СВО; - вредоносный файл был загружен на VirusTotal из г. Гюмри Армения , в котором дислоцируется 102-ая российская военная база. Core Werewolf PseudoGamaredon — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года.

Хаккеры пытались атаковать 102-я российскую военную базу в Армении Специалисты по кибербезопасности F.A.C.C.T. бывшая Group-IB обнаружили на платформе VirusTotal вредоносный файл, предполагаемой целью атаки которого является 102-я российская военная база в Армении, сообщила пресс-служба компании. Вредоносный файл был загружен на VirusTotal из Гюмри Армения , где дислоцируется база. В качестве документа-приманки использовалось якобы представление к госнаградам, в том числе ордену Мужества, военнослужащих, отличившихся в ходе «военной спецоперации» на Украине. В F.A.C.C.T. уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf PseudoGamaredon , которая с 2021 года атакует объекты оборонно-промышленного комплекса и критической информационной инфраструктуры в России. В марте 2024-го, в частности, Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения, а в начале апреля — российский оборонный завод. В своей вредоносной деятельности группа использует программное обеспечение UltraVNC. Глава отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Дмитрий Купин уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении могла начаться до 15 апреля 2024 года. - ПОДПИСЫВАЙТЕСЬ

‼Специалисты по кибербезопасности F.A.C.C.T. бывшая Group-IB обнаружили на платформе VirusTotal вредоносный файл, предполагаемой целью атаки которого является 102-я российская военная база в Армении, сообщила пресс-служба компании. Вредоносный файл был загружен на VirusTotal из Гюмри Армения , где дислоцируется база. В качестве документа-приманки использовалось якобы представление к госнаградам, в том числе ордену Мужества, военнослужащих, отличившихся в ходе «военной спецоперации» на Украине. В F.A.C.C.T. уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf PseudoGamaredon , которая с 2021 года атакует объекты оборонно-промышленного комплекса и критической информационной инфраструктуры в России. В марте 2024-го, в частности, Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения, а в начале апреля — российский оборонный завод. В своей вредоносной деятельности группа использует программное обеспечение UltraVNC. Глава отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Дмитрий Купин уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении могла начаться до 15 апреля 2024 года.

102-я российская военная база в Армении стала мишенью кибершпионской группы Core Werewolf PseudoGamaredon , которая не раз уже атаковала объекты оборонно-промышленного комплекса и критической информационной инфраструктуры РФ. По словам специалистов по кибербезопасности F.A.C.C.T. бывшая Group-IB , на платформу VirusTotal был загружен из Гюмри Армения , где дислоцируется база, вредоносный файл -самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. В качестве документа-приманки использовалось представление к госнаградам военнослужащих, отличившихся в ходе СВО на Украине. Очевидно, что Армения становится "родной" территорией для кибершпионажа, нацеленного против России.

Исследователи F.A.C.C.T. обнаружили на VirusTotal вредоносный файл, связанный с кибершпионской Core Werewolf, который был загружен 15 апреля из армянского города Гюмри, в котором дислоцируется 102-ая российская военная база. Найденное ВПО представляло собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC, которую с иконкой приложения OneDrive обычно использует Core Werewolf. В качестве документа-приманки использовалось ходатайство о награждении военнослужащих с указанием их звания, ФИО и личного номера, отличившихся в ходе СВО, в том числе Орденами Мужества. Как известно, Core Werewolf PseudoGamaredon с 2021 года активно атакует российские организации, связанные с ОПК, а также объекты КИИ. В марте они атаковали НИИ, задействованный в военных разработких, а в апреле - оборонный завод. На этот раз судя по дате и времени последней модификации содержащихся файлов в 7zSFX-архиве, можно предположить, что новая наблюдаемая атака могла начаться раньше даты загрузки на VirusTotal. В качестве C2 злоумышленники использовали домен mailcommunity[.]ru, который был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году. За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак. Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках. Также специалисты F.A.C.C.T. нашли на VirusTotal загруженные из России в марте и апреле этого года вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go. Они имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC. Причем конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше файлами, а в качестве C2 используется тот же домен: mailcommunity[.]ru:443. Технический обзор атаки и IOC - в отчете F.A.C.C.T.