Хакеры притворялись госслужащими из Киргизии для шпионажа в России
Группа хакеров Cavalry Werewolf атаковала российские организации с целью шпионажа, выдавая себя за госслужащих из Киргизии, сообщили РБК в компании BI.ZONE. Мишенями злоумышленников стали государственные учреждения, а также компании из сферы энергетики, добычи полезных ископаемых и обрабатывающей промышленности.
Хакеры под видом сотрудников разных киргизских министерств рассылали жертвам письма с пометкой «важные документы». На самом же деле в прикрепленных RAR-архивах было спрятано вредоносное ПО.
«Это были не коммерческие, массовые программы, которые можно купить на теневых площадках. Злоумышленники создавали собственные: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram», — говорится в сообщении BI.ZONE. По словам экспертов, эти инструменты позволяют удаленно управлять скомпрометированным устройством.
Для своих рассылок хакеры чаще всего создавали почтовые ящики, похожие на настоящие адреса чиновников. Однако в некоторых случаях использовали реальный e-mail, который был указан в качестве контактного на сайте одной из киргизских госструктур.
«Фишинговые письма Cavalry Werewolf не выбивались из стилистики официальной переписки. Правдоподобный фишинг, который сложно распознать, а также использование самописных программ и активные эксперименты с арсеналом — характерный почерк шпионских группировок», — рассказал РБК руководитель BI.ZONE Threat Intelligence Олег Скулкин. Он отметил, что главная задача преступников как можно дольше оставаться незамеченными в «скомпрометированной инфраструктуре».
В BI.ZONE не исключают, что хакеры из Cavalry Werewolf готовят новые атаки — против граждан и компаний Таджикистана и стран Ближнего Востока. Специалисты обнаружили созданные злоумышленниками файлы с названиями на таджикском и арабском языках.
Кроме того, группировка тестирует новые вредоносные программы, в частности троян удаленного доступа Async RAT. В отличие от самописных инструментов, которые были недавно использованы против российских организаций, он бесплатен и доступен на одной из популярных платформ для хостинга IT-проектов. Однако для своих задач злоумышленники выбрали модификацию, переписанную на языке программирования Rust, выяснили киберзащитники.
Читайте РБК в Telegram.