APT-группа Core Werewolf шпионит за российскими КИИ с помощью UltraVNC

ИБ-компания BI.ZONE зафиксировала атаки Core Werewolf на российский оборонно-промышленный комплекс и объекты критической инфраструктуры (КИИ). Для проникновения в организации используются целевые рассылки и UltraVNC.

Данная APT-группа, по словам исследователей, активна как минимум с августа 2021 года. Чтобы дольше оставаться незамеченными, авторы шпионских атак используют легитимный софт.

Анализ показал, что поддельные сообщения, рассылаемые Core Werewolf в российские организации, содержат ссылку на исполняемый файл, замаскированный под документ PDF или DOCX.

При его открытии отображается некое постановление, приказ, методическое пособие, служебная записка либо резюме. Одновременно на устройстве жертвы в фоновом режиме запускается UltraVNC, обеспечивающий авторам атаки удаленный доступ к системе.

«Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов, — комментирует Олег Скулкин, руководитель управления киберразведки BI.ZONE. — Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках».

Снизить риски подобных атак, по словам экспертов, помогают меры, реализующие проактивный подход к обнаружению киберугроз (threat hunting). Потенциальным жертвам рекомендуется использовать специализированные решения для защиты имейл и наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведения легальных программ.