Оборотни активны в полнолуния, а вымогатели из группировки Werewolves проявляют себя значительно реже.
Аналитики Центра Кибербезопасности F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves после длительного перерыва. Злоумышленники атаковали российские производственные, энергетические и геологоразведочные компании. В массовой атаке они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке.
Ранее мы уже писали об этих киберпреступниках.
В конце марта система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR обнаружила фишинговые письма, которые рассылались от имени транспортных компаний и липецкого ресторана с темами «Претензионное», «Запрос».
В свежих рассылках члены группировки под видом судебных претензий, требований и актов отправляли вредоносные .doc и .xls-файлы, являющимися загрузчиками Cobalt Strike Beacon – компонента инструмента Cobalt Strike.
К письмам были прикреплены файлы под названиями: «рекламация.doc», «акт сверки.xls» и «анкета.xls».
Кроме того, аналитики Центра Кибербезопасности F.A.C.C.T. выявили подмену злоумышленниками адреса электронной почты отправителя с помощью спуфинга — техники, которая позволяет подделать почту отправителя и создать видимость, что письмо отправлено с легитимного адреса. Werewolves в этой кампании, как правило, не создавали свои электронные ящики, а отправляли c потенциально взломанных учетных записей.
В одном из писем в роли адреса отправителя использовался несуществующий почтовый адрес военного комиссариата Нижегородской области. В сообщении злоумышленники использовали тему военных сборов, которая особенно актуальна в начале весны. В письме говорилось о необходимости направить