Хакеры эксплуатируют тему СВО

В России осенью 2024 года было зафиксировано большое количество кибератак прогосударственных APT-групп на российские организации, связанные с СВО. Так, атакам подверглись воинские части, предприятия ОПК и фонды поддержки участников СВО. Наиболее активными APT-группами стали Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, сообщают специалисты F.A.C.C.T. Threat Intelligence. 

В исследовании компании сообщается, что группа Core Werewolf впервые стала использовать цепочку VBS-скриптов и добавила новый SSH-бэкдор. Это позволило им устанавливать легитимную программу удаленного доступа UltraVNC. По данным специалистов, Core Werewolf действовала так: в группе отправляли служебное письмо якобы от замминистра обороны РФ и под письмо под видом ФСТЭК России. 

Хакерская группа Unicorn начала распространяла варианты самописного вредоносного программного обеспечения под видом коммерческого предложения для покупки со скидкой оборудования для СВО или предложения о безвозмездной передаче техники в фонд для нужд военнослужащих СВО. 

Злоумышленники Sticky Werewolf продолжили кампанию MimiStick, целью которой являются предприятия ОПК. Для этого они разворачивали Sliver Implant и Quasar RAT. Помимо MimiStick, эксперты также зафиксировали рассылки в научно-исследовательское и производственное предприятие в сфере ОПК, где устанавливался троян Darktrack RAT. 

Cloud Atlas осенью 2024 года использовала вредоносные документы, содержащие ссылку в потоке 1Table для удаленной загрузки файла шаблона. На момент исследования вредоносные шаблоны были недоступны. Однако, как считают эксперты, они были нацелены на военную сферу. 

Напомним, что ранее в России белых хакеров начали приглашать для участия в программе Bug Bounty, направленной на поиск уязвимостей в новой электронной системе воинского учета. 

В рамках этой приватной программы исследователям информационной безопасности предлагаются денежные вознаграждения до 1 млн руб. за обнаружение уязвимостей в системе, интегрированной с порталом госуслуг.