Cybersecurity-onderzoekers hebben details bekendgemaakt van een bedreigingsacteur die bekend staat als Sticky Werewolf en die in verband is gebracht met cyberaanvallen gericht op entiteiten in Rusland en Wit-Rusland.
De phishing-aanvallen waren gericht op een farmaceutisch bedrijf, een Russisch onderzoeksinstituut dat zich bezighoudt met microbiologie en vaccinontwikkeling, en de luchtvaartsector, en breidden zich uit buiten hun oorspronkelijke focus van overheidsorganisaties, zei Morphisec vorige week in een rapport.
“In eerdere campagnes begon de infectieketen met phishing-e-mails met een link om een kwaadaardig bestand te downloaden van platforms als gofile.io”, zegt beveiligingsonderzoeker Arnold Osipov. “Deze laatste campagne maakte gebruik van archiefbestanden met LNK-bestanden die verwezen naar een payload die was opgeslagen op WebDAV-servers.”
Sticky Werewolf, een van de vele bedreigingsactoren die zich op Rusland en Wit-Rusland richten, zoals Cloud Werewolf (ook bekend als Inception en Cloud Atlas), Quartz Wolf, Red Wolf (ook bekend als RedCurl) en Scaly Wolf, werd voor het eerst gedocumenteerd door BI.ZONE in oktober 2023. De groep zou in ieder geval sinds april 2023 actief zijn.
Eerdere aanvallen die door het cyberbeveiligingsbedrijf werden gedocumenteerd, maakten gebruik van phishing-e-mails met links naar kwaadaardige ladingen die culmineerden in de inzet van de NetWire trojan voor externe toegang (RAT), waarvan de infrastructuur begin vorig jaar werd uitgeschakeld na een wetshandhavingsoperatie.
De nieuwe aanvalsketen die door Morphisec is waargenomen, omvat het gebruik van een RAR-archiefbijlage die, wanneer deze wordt geëxtraheerd, twee LNK-bestanden en een lok-PDF-document bevat, waarbij de laatste beweert een uitnodiging te zijn voor een videoconferentie en de ontvangers aanspoort om op de link te klikken. LNK-bestanden om de vergaderagenda en de e-maildistributielijst op te halen.
Het openen van een van de LNK-bestanden activeert de uitvoering van een binair bestand dat wordt gehost op een WebDAV-server, wat leidt tot de lancering van een versluierd Windows-batchscript. Het script is op zijn beurt ontworpen om een AutoIt-script uit te voeren dat uiteindelijk de uiteindelijke payload injecteert en tegelijkertijd beveiligingssoftware en analysepogingen omzeilt.
“Dit uitvoerbare bestand is een zelfuitpakkend NSIS-archief dat deel uitmaakt van een eerder bekende crypter genaamd CypherIT”, zei Osipov. “Hoewel de originele CypherIT-crypter niet langer wordt verkocht, is het huidige uitvoerbare bestand een variant ervan, zoals waargenomen in een aantal hackforums.”
Het einddoel van de campagne is het leveren van commodity-RAT's en malware die informatie steelt, zoals Rhadamanthys en Ozone RAT.
“Hoewel er geen definitief bewijs is dat wijst op een specifieke nationale oorsprong voor de Sticky Werewolf-groep, suggereert de geopolitieke context mogelijke banden met een pro-Oekraïense cyberspionagegroep of hacktivisten, maar deze toeschrijving blijft onzeker”, aldus Osipov.
De ontwikkeling komt op het moment dat BI.ZONE een activiteitencluster onthulde met de codenaam Sapphire Werewolf, dat verantwoordelijk wordt geacht voor meer dan 300 aanvallen op de Russische onderwijs-, productie-, IT-, defensie- en ruimtevaartsector met behulp van Amethyst, een uitloper van het populaire open source SapphireStealer. .
Het Russische bedrijf ontdekte in maart 2024 ook clusters genaamd Fluffy Wolf en Mysterious Werewolf die spear-phishing-lokmiddelen hebben gebruikt om Remote Utilities, XMRig miner, WarZone RAT en een op maat gemaakte achterdeur genaamd RingSpy te distribueren.
“De RingSpy-achterdeur stelt een tegenstander in staat om op afstand opdrachten uit te voeren, de resultaten ervan te verkrijgen en bestanden van netwerkbronnen te downloaden”, aldus het rapport. “De (command-and-control) server van de achterdeur is een Telegram-bot.”
