Киберэксперты компании Kaspersky зафиксировали новую активность APT-группировки Rare Werewolf, известной также под кодовым именем Librarian. Мишенью преступников стали российские и компании СНГ, где злоумышленники используют адресно нацеленные фишинговые рассылки для проникновения во внутренние сети.
Для начала атаки злоумышленники рассылают электронные письма с якобы официальными приглашениями или отчётами. Вложенные документы содержат макросы, при запуске которых на устройстве жертвы устанавливается набор скриптов для дальнейшего контроля и разведки.
Механизм заражения и майнинга
После первичного проникновения вредоносные скрипты разворачивают на компьютерах инфицированных пользователей скрытый майнер криптовалют и прокси-модуль для ретрансляции трафика. Это позволяет злоумышленникам не только добывать цифровые монеты за счёт ресурсов компании, но и скрывать истинное местоположение своих серверов.
Кража и эксфильтрация данных
Редактирование конфигураций безопасности системы даёт преступникам доступ к конфиденциальным файлам, базам данных и учётным записям. Полученные сведения затем передаются на управляющие серверы через HTTPS-каналы, что затрудняет обнаружение утечки.
Рекомендации по защите
Чтобы снизить риски атаки Rare Werewolf, эксперты по кибербезопасности советуют провести аудит электронных рассылок, отключить автоматическое выполнение макросов в офисных приложениях, регулярно обновлять антивирусную защиту и устанавливать официальные патчи. Внедрение системы обнаружения вторжений (IDS) поможет выявлять аномальные соединения с внешними серверами.
Комплексная защита и обучение сотрудников правилам информационной гигиены — ключевые меры для противодействия фишинговым кампаниям и атакам APT-группировок, таких как Rare Werewolf.
