Cavalry Werewolf kampány orosz állami szervek ellen
A BI.ZONE Threat Intelligence új kutatása a Cavalry Werewolf 2025 május és augusztus közötti tevékenységét elemzi. A csoport elsősorban orosz állami szerveket, valamint az energia-, bányászati és gyártási szektorban működő vállalkozásokat vett célba. A csoport tagjai kormánytisztviselőknek adják ki magukat, és egyedi malware-eket használnak műveleteik végrehajtásához. A kezdeti hozzáférés megszerzéséhez a Cavalry Werewolf spear-phishing e-maileket küldött, amelyeket kirgiz kormánytisztviselők hivatalos levelezésének álcáztak. Minden e-mail egy RAR archívumot tartalmazott, amely vagy a FoalShell nevű reverse shellt, vagy a Telegramon keresztül vezérelt StallionRAT nevű távoli hozzáférést biztosító trójai programot telepítette, lehetővé téve a támadók számára, hogy titokban irányítsák a megfertőzött rendszereket.
A támadók kifejezetten a Gazdasági és Kereskedelmi Minisztérium, a Kulturális, Információs, Sport- és Ifjúságpolitikai Minisztérium, valamint a Közlekedési és Hírközlési Minisztérium alkalmazottainak adták ki magukat. Az egyik adathalász e-mailben a támadók a Kirgiz Köztársaság szabályozó hatóságának weboldalán található valódi e-mail címet használták. Valószínű, hogy a támadók korábban feltörték ezt a címet, hogy azt jövőbeli támadásokhoz felhasználhassák.
A támadások során használt FoalShell egy egyszerű reverse shell, amelyet Go, C++ és C# nyelven írtak. A FoalShell lehetővé teszi a támadók számára, hogy tetszőleges parancsokat hajtsanak végre a cmd[dot]exe parancssori értelmezőben egy feltört hoszton. A másik eszköz, a StallionRAT egy Go, PowerShell és Python nyelven írt távoli hozzáférést biztosító trójai programok csoportja. A StallionRAT lehetővé teszi a támadók számára, hogy tetszőleges parancsokat hajtsanak végre, további fájlokat töltsenek be és az összegyűjtött adatokat kiszivárogtassák.
A BI.ZONE kutatói úgy értékelik, hogy közös vonásai vannak a SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk és Tomiris néven nyomon követett csoportokkal. A Cavalry Werewolf és a Tomiris közötti kapcsolatok jelentősek, nem utolsósorban azért, mert tovább erősítik azt a hipotézist, hogy ez egy kazahsztáni kapcsolódású fenyegető szereplő. Egy tavaly év végi jelentésében a Microsoft a Tomiris backdoor-t egy kazahsztáni székhelyű, Storm-0473 néven nyomon követett fenyegető szereplőnek tulajdonította.
