ОПК России попал под атаки бэкдора RingSpy

Специалисты Bi.Zone рассказали об атаках группировки Mysterious Werewolf, которая используют новый бэкдор RingSpy для проникновения во внутренние системы компаний оборонно-промышленного комплекса России. 

По данным ИБ-специалистов, кампания действует минимум с 2023 года. В ходе атаки злоумышленники присылают сотрудникам организаций, относящихся к отечественному ОПК, фишинговые письма с архивом из PDF-документа и вредоносного файла CMD. Если пользователь откроет архив и запустит документ, то начнется загрузка бэкдора. 

– В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании, однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic – легитимный инструмент для тестирования на проникновение. – рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин. – Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников – дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре. 

Если RingSpy удается проникнуть и закрепиться в системе, злоумышленники получают возможность удаленного управления системой, в том числе они могут выполнять различные команды и выгружать файлы. 

Ранее российские организации попадали под атаки других Werewolf: Core и Sticky. В обоих кампаниях злоумышленники применяли фишинговые письма для доставки вредоносов, которые позволяли хакерам получать доступ к внутренней ИТ-инфраструктуре жертвы. Как полагают специалисты F.A.С.С.T., шпионаж и компрометации систем российский компаний, в первую очередь относящихся к госсектору и ОПК, будут продолжаться и в 2024 году в виду острой фазы геополитического кризиса.