Исследователи из Dr.Web в своем новом отчете сообщают расчехлили арсенал Cavalry Werewolf, который удалось задетектить в ходе расследования целевой атаки в отношении неназванного российского госучреждения.

Одной из целей выявленной кампании, проводимой APT, был сбор конфиденциальной информации и данных о конфигурации сети.

Для получения первоначального доступа злоумышленники использовали распространенный вектор проникновения - фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы.

В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS.

Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная ПО располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.

Используя бэкдор, злоумышленники продолжили закрепление в целевой системе, загрузив несколько вредоносных ПО через стандартный для ОС Windows Bitsadmin, предназначенный для управления заданиями по передаче файлов.

Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы.

В целом, вредоносные программы в фишинговых письмах могут быть представлены разным типом вредоносного ПО.

В Dr.Web выделили следующие: скрипты (BAT.DownLoader.1138) и исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).

Первой из ранее неизвестных, загруженных через BackDoor.ShellNET.1, был стилер Trojan.FileSpyNET.5.

С его помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).

Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и дальнейшего выполнения на нем команд, в том числе - с возможностью установки другого вредоносного ПО.

При этом расследование инцидента позволило выявить не только указанные вредоносные приложения, но и множество других инструментов, которые Cavalry Werewolf используют для проведения таргетированных атак. 

В частности, были обнаружены следующие вредоносные Пяо, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации: Trojan.Inject5.57968, BackDoor.ShellNET.2, BackDoor.ReverseProxy.1 и Trojan.Packed2.49862.

Последняя представляет собой набор троянизированных версий легитимных ПО, в которые злоумышленники внедрили вредоносный код.

В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы.

Среди них: BackDoor.ReverseProxy.1 (ReverseSocks5), BackDoor.Shell.275 (AdaptixC2), BackDoor.AdaptixC2.11 (AdaptixC2), BackDoor.Havoc.16 (Havoc), BackDoor.Meterpreter.227 (CobaltStrike), Trojan.Siggen9.56514 (AsyncRAT) и Trojan.Clipper.808.

Причем, разрабы из Cavalry Werewolf не ограничиваются единым набором вредоносных ПО и постоянно пополняют свой арсенал.

Поэтому инструменты для проникновения в целевые системы и в последующей в цепочке заражения могут отличаться в зависимости от жертвы.

В целом, исследователи Dr.Web отмечают, что Cavalry Werewolf предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок.

Основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах.

Хакеры часто применяют Telegram API для управления зараженными компьютерами, а для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени госструктур, используя скомпрометированные email-адреса.

Технические особенности выявленных инструментов Cavalry Werewolf и ссылки на IOCs - в отчете.