Cavalry Werewolf
A BI.ZONE vizsgálata szerint egy újabb támadócsoport azonosítottak Cavalry Werewolf néven, amely célpontjai között orosz állami intézmények, valamint energetikai, bányászati és gyártási szervezetek szerepelnek. A támadók kezdeti belépési módja célzott adathalász e-mail volt, amelyeket kirgiz állami szervek alkalmazottainak nevében küldtek — olykor olyan valós e-mail címek felhasználásával, amelyeket korábban kompromittáltak. Az üzenetek RAR-formátumú mellékletet tartalmaztak, amelyben a FoalShell vagy StallionRAT kártevők rejtőztek.
FoalShell egy viszonylag egyszerű reverse shell eszköz, amely lehetővé teszi, hogy a támadók parancsokat futtassanak a kompromittált gépen, míg a StallionRAT komplexebb képességekkel bír: többféle nyelven — Go, Python, PowerShell — is működik, és támogatja többek között fájlok feltöltését és letöltését, parancsvégrehajtást, valamint adatleket küldését Telegramon keresztül. A StallionRAT bot-parancsokkal vezérelhető: például egy „/go” parancs segítségével a készítő futtathatja a kiválasztott parancsot a kompromittált hoston.
A kampány finomsága abban rejlik, hogy a támadók nem egyszerű hamis profilokat használnak: előfordult, hogy valódi, korábban kompromittált krígyz szervezeti e-mail címekből küldték ki a leveleket, ezzel növelve a hitelességet és csökkentve a gyanútlan felhasználó óvatosságát. A levelek gyakran híres szervezetek logóját vagy ismert márkaneveket is tartalmaztak, hogy az áldozat már az első pillanatban legitimnek fogja fel az üzenetet.
A BI.ZONE kiemeli, hogy a Cavalry Werewolf folyamatosan kísérletezik a támadó felszereléseivel — újabb és újabb eszközöket von be, hogy fenntartsa a kihívást az észlelő rendszerek számára. A csoportot részben egyéb ismert támadó klaszterekkel, például Tomiris-szal kötik össze, amiből az is következik, hogy Kazahsztánhoz vagy a térséghez köthető eredet is lehetséges.
