De dreigingsacteur bekend als Zeldzame weerwolf (voorheen Rare Wolf) is gekoppeld aan een reeks cyberaanvallen gericht op Rusland en het Commonwealth of Independent States (CIS) landen.
“Een onderscheidend kenmerk van deze dreiging is dat de aanvallers de voorkeur geven aan het gebruik van legitieme software van derden boven het ontwikkelen van hun eigen kwaadaardige binaries,” zei Kaspersky. “De kwaadaardige functionaliteit van de campagne die in dit artikel wordt beschreven, is geïmplementeerd via opdrachtbestanden en PowerShell -scripts.”
De bedoeling van de aanvallen is het vaststellen van externe toegang tot gecompromitteerde hosts en siphon -referenties en de XMRIG -cryptocurrency -mijnwerker in te zetten. De activiteit had invloed op honderden Russische gebruikers die industriële ondernemingen en engineeringscholen overspannen, met een kleiner aantal infecties die ook in Wit -Rusland en Kazachstan werden vastgelegd.
Zeldzame weerwolf, ook bekend onder de namen Bibliothecaris Ghouls en Reeten, is de naam toegewezen aan een geavanceerde persistent -dreigingsgroep (APT) die een track record heeft van opvallende organisaties in Rusland en Oekraïne. Er wordt aangenomen dat het althans sinds 2019 actief is.
Volgens Bi.zone verkrijgt de dreigingsacteur initiële toegang met behulp van phishing -e -mails, maakt het gebruik van de voet van de voet om documenten, telegram messenger -gegevens en drop -tools zoals Mipko Employee Monitor, WebbrowserPassView en Defender Control te stelen om te interageren met het geïnfecteerde systeem, oogstwachtwoorden en antivirus -software.
De nieuwste set aanvallen die door Kaspersky zijn gedocumenteerd, onthult het gebruik van phishing-e-mails als een malware-bezorgvoertuig, met behulp van wachtwoordbeveiligde archieven met uitvoerbare bestanden als uitgangspunt om de infectie te activeren.
Aanwezig in het archief is een installatieprogramma dat wordt gebruikt om een legitieme tool te implementeren genaamd 4T -lade minimizer, evenals andere payloads, waaronder een Decoy PDF -document dat een betalingsorder nabootst.
“Deze software kan lopende applicaties op de systeemlade minimaliseren, waardoor aanvallers hun aanwezigheid op het gecompromitteerde systeem kunnen verdoezelen,” zei Kaspersky.
Deze tussenliggende payloads worden vervolgens gebruikt om extra bestanden van een externe server op te halen, waaronder Defender Control en BLAT, een legitiem hulpprogramma voor het verzenden van gestolen gegevens naar een aanvallergestuurd e-mailadres via SMTP. De aanvallen worden ook gekenmerkt door het gebruik van de ENDERDESK Remote Desktop -software en een Windows -batchscript om gegevensdiefstal en de implementatie van de mijnwerker te vergemakkelijken.
Een opvallend aspect van het batchscript is dat het een PowerShell-script lanceert met mogelijkheden voor het automatisch wakker maken van het slachtoffersysteem om 1 uur lokale tijd en de aanvallers op afstand toegankelijk hebben voor een venster van vier uur via een anydesk. De machine wordt vervolgens om 5 uur uitgeschakeld door middel van een geplande taak.
“Het is een veel voorkomende techniek om legitieme software van derden te benutten voor kwaadaardige doeleinden, waardoor het detecteren en toeschrijven van APT-activiteit moeilijker,” zei Kaspersky. “Alle kwaadaardige functionaliteit is nog steeds gebaseerd op het installatieprogramma-, opdracht- en PowerShell -scripts.”
De openbaarmaking komt als positieve technologieën onthulden dat een financieel gemotiveerde cybercriminaliteitsgroep Darkgaboon noemde zich richt op Russische entiteiten met behulp van Lockbit 3.0 -ransomware. Darkgaboon, voor het eerst ontdekt in januari 2025, zou sinds mei 2023 operationeel zijn.
De aanvallen, aldus het bedrijf, gebruiken phishing -e -mails met archiefbestanden met RTF -aasdocumenten en Windows Screensaver -bestanden om de Lockbit -encryptor en Trojaanse paarden zoals Xworm en Revenge Rat te laten vallen. Het gebruik van direct beschikbare tooling wordt gezien als een poging van de kant van de aanvallers om op te gaan met bredere cybercriminale activiteit en het uitdagen van toeschrijvingspogingen.
“Darkgaboon is geen klant van de Lockbit RAAS -service en handelt onafhankelijk, zoals aangegeven door het gebruik van een openbaar beschikbare versie van de Lockbit -ransomware, de afwezigheid van sporen van gegevensuitvoeringen in de aangevallen bedrijven, en de traditionele bedreigingen om gestolen informatie te publiceren over de (Data LEAK Site) Portal,” Positive Technology Victor Kazov.
