Группировка Scaly Wolf обновила способ атаки на РФ

Специалисты рассказали о хакерах, проваливших атаки на РФ. Группировка Scaly Wolf обновила способ загрузки программы для получения доступа к информации на компьютер жертвы в спешке, из-за чего он работал не так, как предполагалось, рассказали в компании BI.Zone

Специалисты рассказали о хакерах, проваливших атаки на РФ Группировка Scaly Wolf обновила способ загрузки программы для получения доступа к информации на компьютер жертвы в спешке, из-за чего он работал не так, как предполагалось, рассказали в компании BI.Zone

Серия киберитак Scaly Wolf на российские компании не удалась из-за ошибки хакеров Компания BI ZONE сообщила о неудачной попытке кибератаки хакерской группы Scaly Wolf на российские компании. Хакеры планировали использовать новый инструмент для эффективного проникновения в инфраструктуру организаций с помощью вредоносного ПО White Snake. Однако, из-за ошибки в подмене файлов, на скомпрометированные устройства устанавливался легитимный файл, не наносящий ущерба. Атаки были направлены на промышленные и логистические компании, а также государственные организации. Планировалось использование стилера White Snake для того, чтобы получить доступ к корпоративным данным. Это вредоносное ПО позволяет собирать сохранённые в браузере логины и пароли, записывать нажатия клавиш, копировать документы с заражённого компьютера и даже получать к нему удалённый доступ. По словам руководителя BI ZONE Threat Intelligence Олега Скулкина, злоумышленники попытались обновить способ доставки стилера в целевые системы. Однако, инструмент использовался в спешке и вместо вредоносного ПО в систему копировался легитимный файл, не принося вреда. Таким образом, даже при успешной атаке, доступ к скомпрометированным системам и чуствительным данным легально не получали.

Бизоны рассказали о том, как новая планируемая Scaly Wolf кампания потерпела фиаско из-за загрузчика, который не смог. Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании. Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake. Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру. Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er invalid printer . При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe. Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой. Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение. Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами. Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные. Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением. После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода. Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы в том числе .NET . Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения. Обновленный перечень IOC и и детальное описание TTPs - в отчете.

Специалисты рассказали о хакерах, проваливших атаки на РФ. Группировка Scaly Wolf обновила способ загрузки программы для получения доступа к информации на компьютер жертвы в спешке, из-за чего он работал не так, как предполагалось, рассказали в компании BI.Zone

​ Scaly Wolf завалила атаку из-за банальной ошибки Группировка Scaly Wolf, известная своими атаками на российские и белорусские организации, возобновила активность в конце марта 2024 года, выпустив не менее шести фишинговых рассылок на промышленные и логистические компании, а также государственные учреждения. Однако хакеры провалила серию кибератак на Россию из-за собственной ошибки, рассказали в компании BI.Zone. Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который они использовали в предыдущих кампаниях. Это вредоносное программное обеспечение позволяет собирать логины и пароли, сохраненные в браузере, записывать нажатия клавиш, копировать документы с инфицированного компьютера и получать к нему удаленный доступ. Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. Хакеры рассчитывали, что жертва откроет приложенный к письму архив в ZIP-формате. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake. Однако, внедряя обновленный способ доставки вредоноса для обхода защитных механизмов, злоумышленники допустили серьезную ошибку. Вместо ВПО в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели — не получали доступ к чувствительным данным и скомпрометированной системе. В ходе неудавшейся кампании Scaly Wolf использовала обновленную версию стилера White Snake, которая появилась в продаже на хакерских форумах только в конце марта. Разработчики вредоноса объявили «весенние скидки» - приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год - за 800 вместо 1100, бессрочно - за 1000 вместо 1950 долларов. Как отметили в компании, ранее создатели White Snake утверждали, что один из покупателей якобы сумел обойти ограничения на использование программы в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования компании о применении стилера против российских компаний. Вероятнее всего, таким образом разработчики пытались избежать блокировки вредоноса на популярных хакерских ресурсах. В последней версии White Snake модуль, блокирующий работу программы на территории РФ и стран СНГ, отсутствует. ITsec NEWS