Специалисты Angara MTDR выявили новую фишинговую кампанию группировки Rare Werewolf (также отслеживаемой как Rezet и Librarian Ghouls). Злоумышленники рассылают вредоносное ПО под видом зашифрованного архива «Актуальная редакция Договора поставки N 8530-69 Исх. 755.rar», имитируя продолжение рабочей переписки. Письмо содержит архив, в котором находятся два файла; ключевым элементом атаки служит исполняемый файл в формате .com, несущий основную вредоносную нагрузку.

Цепочка заражения реализована в несколько этапов, причём на каждом из них используются дополнительные зашифрованные архивы — это минимизирует вероятность обнаружения средствами защиты. После первоначального проникновения образец средства доступа и постэксплуатации разворачивает легитимное приложение удалённого администрирования AnyDesk, автоматически настраивает постоянный удалённый доступ и извлекает сохранённые учётные данные браузеров и почтовых клиентов. Собранная информация передаётся оператору через SMTP-инфраструктуру злоумышленников.

В процессе атаки целенаправленно ослабляются механизмы защиты Windows, а после завершения установки и кражи данных удаляются почти все артефакты присутствия. Таким образом, реализуется полный цикл: установка скрытого удалённого доступа, хищение учётных записей и последующая зачистка следов, затрудняющая расследование.

Эксперты указывают на продуманный сценарий социальной инженерии. Сообщение стилизовано под продолжение реальной переписки или пересланную коллегами цепочку писем, включает упоминание цифровой подписи конкретного сотрудника и блок о проверке антивирусом — всё это формирует у получателя ложное ощущение безопасности и снижает бдительность при открытии вложения.

Для защиты от подобных атак рекомендуется предельно внимательно относиться к внешней корреспонденции, регулярно обновлять антивирусные средства, использовать комплексную защиту корпоративной почты (включая антифишинг) и конечных устройств (решения класса EDR). Необходимо контролировать и по возможности ограничивать применение программ удалённого управления, в том числе AnyDesk, в корпоративной сети: их эксплуатация позволяет злоумышленникам маскировать нелегитимные действия под административную активность. При обнаружении подобных фишинговых писем следует просканировать все узлы сети на наличие индикаторов компрометации — остаточные следы закрепления могут служить маркером успешной атаки. Все доменные имена и IP-адреса злоумышленников необходимо заблокировать, а почтовый сервер проверить на аналогичные сообщения по теме, отправителю или вложению и удалить их, чтобы исключить повторное открытие.

Группировка Rare Werewolf (ранее известная как Rare Wolf, также отслеживается под именами Librarian Ghouls, Librarian Likho, Rezet) проводит скрытные кибератаки на предприятия в России, Белоруссии и Казахстане как минимум с 2019 года. По данным Angara MTDR, в сентябре 2025 года активность группировки заметно возросла.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *