Группировка Core Werewolf атакует военные организации России и Беларуси

Gurd 07/05/2025 0
Группировка Core Werewolf атакует военные организации России и Беларуси

Эксперты из F6 выявили активность хакерской группы Core Werewolf (известной также как PseudoGamaredon), чьи атаки направлены на военные структуры России и Беларуси.

Группа Core Werewolf осуществляет свою деятельность с августа 2021 года. Их основными целями являются российские и белорусские организации, имеющие отношение к оборонной промышленности, а также объекты критической инфраструктуры. В своих операциях они используют вредоносное ПО UltraVNC и MeshCentral.

Аналитики сообщают, что 2 мая 2025 года в открытую онлайн-песочницу был загружен .eml файл. Данное письмо, отправленное 29 апреля 2025 года с адреса al.gursckj@mail[.]ru, содержало запароленный архив «Спискинанагр.7z», который был идентифицирован специалистами как часть инструментария Core Werewolf. Внутри находился 7z-архив с названием «Списки на уточнение вс представляемых к награждению гос награды.exe». При его запуске содержимое распаковывается во временную директорию, одновременно открывая PDF-файл-приманку «Списки на уточнение вс представляемых к награждению гос награды.pdf» и CMD-скрипт, инициирующий цепочку вредоносных действий.

Первым запускается файл crawl.cmd, который извлекает файлы из распакованного архива и передает управление скрипту kingdom.bat. Этот скрипт создает конфигурационный файл ultravnc.ini для UltraVNC, содержащий заранее заданный RC4-хешированный пароль, активирует перенос файлов, разрешает удаленное управление и отключает запрос подтверждения подключения.

Затем вызывается mosque.bat, который завершает процессы UltraVNC, проверяет связь с командным сервером stroikom-vl[.]ru и запускает VNC-клиент под именем Sysgry.exe.

Исследователи подчеркивают, что файлы-приманки в виде наградных списков уже использовались Core Werewolf, наряду с документами, содержащими координаты военных объектов.

17 апреля 2025 года был обнаружен еще один вредоносный 7z-архив — undoubtedly.exe, загруженный в VirusTotal. Этот файл также связывают с Core Werewolf и его возможным использованием в атаках на российские военные организации.

Об этом свидетельствует PDF-файл-приманка «Отсканированные документы785Выписка по противникупосостояниюна_04_14к_докладу.pdf», содержащий информацию военного характера.

В архиве также находился скрипт conscience.cmd, запускающий аналогичную цепочку с файлами exception.bat и divine.bat. В результате происходит проверка соединения с управляющим сервером ubzor[.]ru и запускается UltraVNC, предоставляя злоумышленникам удаленный доступ к системе жертвы.

Источник   —   https://xakep.ru/

About The Author

Gurd

See author's posts

Post Views: 41

Больше историй

STK175_DONALD_TRUMP_CVIRGINIA_C

Трамп уволил главу Бюро по авторским правам через два дня после сообщения о том, что обучение ИИ может быть нечестным использованием

Gurd 12/05/2025 0
FT_20.12.10_FacebookFacts_feature-jpg

FTC против Meta: антимонопольная битва вокруг WhatsApp и Instagram

Gurd 12/05/2025 0
bitkoin-kriptovalyuta-bitcoin-2

Дoгoвopённocти CШA и Kитaя пo пoшлинaм пoдняли биткoин вышe $105,000

Gurd 12/05/2025 0

Добавить комментарий

Возможно, вы пропустили

STK175_DONALD_TRUMP_CVIRGINIA_C

Трамп уволил главу Бюро по авторским правам через два дня после сообщения о том, что обучение ИИ может быть нечестным использованием

Gurd 12/05/2025 0
FT_20.12.10_FacebookFacts_feature-jpg

FTC против Meta: антимонопольная битва вокруг WhatsApp и Instagram

Gurd 12/05/2025 0
bitkoin-kriptovalyuta-bitcoin-2

Дoгoвopённocти CШA и Kитaя пo пoшлинaм пoдняли биткoин вышe $105,000

Gurd 12/05/2025 0
xrp-kriptovalyuta-ripple-ii-jpg

Чaт-бoт ChatGPT выпoлнил пpoгнoз пo цeнe XRP нa 1 июня 2025 гoдa

Gurd 12/05/2025 0
Ransomware Via JPG Images

Хакеры используют изображения JPG для запуска полностью невидимого вируса-вымогателя

Gurd 12/05/2025 0