<div id="post_message_789863">

Эксперты департамента киберразведки компании F6 зафиксировали новую волну активности хакерской группировки Core Werewolf, которая традиционно охотится за российскими и белорусскими военными структурами. Основная цель — организации, связанные с оборонкой и критической инфраструктурой.<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2024-10-03-114534/44308" target="_blank">Core Werewolf </a>известна с августа 2021 года. В арсенале — всё те же инструменты: UltraVNC и MeshCentral, которые позволяют злоумышленникам получать удалённый доступ к заражённым устройствам.<br/>
<br/>
<b><font size="4">Как прошла последняя атака</font></b><br/>
<br/>
2 мая 2025 года на одну из публичных песочниц был загружен .eml-файл. Письмо датировано 29 апреля и отправлено с адреса al.gursckj@mail[.]ru. Во вложении — защищённый паролем архив с названием «Списки_на_нагр.7z». F6 сразу сопоставили его со стилем и техникой Core Werewolf.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/05/06/0048/3474/3202450/50/8bfe9a61d6.jpg"/><br/>
<br/>
Внутри архива оказался исполняемый файл с длинным бюрократическим названием:<i> «Списки на уточнение вс представляемых к награждению гос награды.exe»</i>. Это был дроппер — при запуске он распаковывает временные файлы и запускает PDF-документ-приманку с таким же названием, чтобы не вызывать подозрений. В это же время в фоне стартует CMD-скрипт, запускающий вредоносную цепочку.<br/>
<br/>
Первым в дело вступает crawl.cmd: он достаёт содержимое из скрытого архива и передаёт управление скрипту kingdom.bat. Тот формирует конфигурационный файл для UltraVNC (<i>ultravnc.ini</i>), где уже всё подготовлено:<ul><li>задан пароль,</li>
</ul><ul><li>включён перенос файлов,</li>
</ul><ul><li>разрешён удалённый вход,</li>
</ul><ul><li>отключён запрос подтверждения подключения.</li>
</ul>Далее запускается mosque.bat: он убивает процессы UltraVNC (если они уже запущены), проверяет соединение с C2-сервером stroikom-vl[.]ru, а затем запускает клиента VNC под видом процесса Sysgry.exe.<br/>
<br/>
Формат с «наградными списками» — не новинка. Ранее Core Werewolf уже использовала похожие приманки: документы с военными координатами, списками объектов, докладами и прочими якобы «официальными» файлами.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/05/06/0048/3474/3202450/50/a41bf63a17.jpg"/><br/>
<br/>
<b><font size="4">Атака от 17 апреля: ещё один артефакт</font></b><br/>
<br/>
F6 также обнаружила другой подозрительный файл — undoubtedly.exe, загруженный на VirusTotal. Он тоже связан с Core Werewolf и, судя по всему, применялся против российских военных структур.<br/>
<br/>
Внутри дроппера — очередной PDF-документ: «<i>Отсканированные документы_785_Выписка по противнику_по_состоянию_на_ 04_14_к_докладу.pdf</i>». Типичная военная тематика.<br/>
<br/>
Также распаковывался скрипт conscience.cmd, запускающий аналогичную вредоносную цепочку:<ul><li>exception.bat;</li>
</ul><ul><li>divine.bat;</li>
</ul><ul><li>C2 — ubzor[.]ru;</li>
</ul><ul><li>всё тот же UltraVNC в роли основного инструмента удалённого доступа.</li>
</ul><br/>
Подробности атаки — в <a href="https://detonation.f6.security/Mh2soN0D4dhe9NCkYPvJOWODm/ru/" target="_blank">отчёте на платформе F6 Malware Detonation Platform</a>.<br/>
<br/>
Индикаторы компрометации — в <a href="https://habr.com/ru/companies/F6/news/907064/" target="_blank">блоге </a>компании F6 на «Хабре».<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-05-06-111332/45974" target="_blank">@ Anti-Malware </a>
</div>