Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   FACCT: группировка Sticky Werewolf рассылает письма от имени Минпромторга России (http://txgate.io:443/showthread.php?t=7850)

Artifact 02-07-2025 08:16 AM

Специалисты компании FACCT https://t.me/F_A_C_C_T/3478, что после новогодних праздников APT-группировка Sticky Werewolf (она же PhaseShifters) пыталась атаковать российские научно-производственные предприятия, выдавая себя за представителей Минпромторга РФ.
Одно из фишинговых писем было перехвачено экспертами вечером 13 января 2025 года, и специалисты провели анализ рассылки.
Вредоносные письма сдержали «поручение» проработать вопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы с привлечением осужденных.
В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. Заметить, что документ — фальшивка, было несложно. Например, на это указывало несоответствие должности Дениса Мантурова (с мая 2024 года он уже не глава Минпромторга) и разные даты принятия «решения», о которых хакеры писали в январской и декабрьской рассылках.
https://xakep.ru/wp-content/uploads/...ef5b2553f7.jpg
Письмо содержало два вложения: сопроводительное письмо-приманку на бланке Минпромторга, а также вредоносный архив «Форма заполнения.rar», защищенный паролем «2025».
https://xakep.ru/wp-content/uploads/...70cd2d455f.jpg
Внутри этого архива находился документ «список рассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe». В случае его запуска в систему жертвы проникал троян удаленного доступа Ozone RAT, предназначенный для предоставления скрытого удаленного доступа к скомпрометированному устройству.
Дополнительный анализ обнаружил и другое фишинговое письмо, датированное 23 декабря 2024 года, с аналогичной темой, в котором содержалось два фейковых документа: «Письмо_в_организации_по_пр ивлечению_осужденных.do cx» и «список рассылки.docx». В этом случае злоумышленники тоже атаковали научно-производственное предприятие, однако в письме отсутствовал архив с полезной нагрузкой внутри.
Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения, НИИ и промышленные предприятия из сферы ВПК России. Также была обнаружены атаки в Беларуси и Польше.
В ĸачестве первоначального веĸтора атаĸ группа использует фишинговые письма с вредоносными вложениями, в которых часто встречаются таĸие инструменты, ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация стилера RedLine).
https://xakep.ru/2025/01/16/sticky-w...f-minpromtorg/


All times are GMT. The time now is 11:49 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.