Core Werewolf kampány
A F6 jelentése szerint a Core Werewolf nevű kiberkémcsoport ismét aktív támadásokat hajt végre oroszországi és belorusz katonai szervezetek ellen. A F6 biztonsági cég elemzése alapján a csoport célpontjai az orosz és belarusz védelmi iparhoz kapcsolódó szervezetek, valamint kritikus információs infrastruktúrák.
A támadások során a Core Werewolf csoport hamisított e-maileket küld, amelyek jelszóval védett tömörített fájlok tartalmaznak. Ezek az tömörített fájlok egy futtatható fájlt rejtenek, amely egy PDF dokumentumot nyit meg csaliként, miközben a háttérben rosszindulatú szkripteket futtat. Ezek a szkriptek konfigurálják és elindítják az UltraVNC távoli hozzáférési eszközt, lehetővé téve a támadók számára a célrendszerek távoli vezérlését.
A csoport által használt infrastruktúra része többek között a stroikom-vl[.]ru és az ubzor[.]ru domainek, amelyek parancs- és vezérlőszerverként szolgálnak. A támadók által használt fájlok és szkriptek, például a Sysgry.exe és a conscience.cmd, előre beállított konfigurációkat tartalmaznak, amelyek megkönnyítik a hozzáférést és a fájlátvitelt a fertőzött rendszereken.
A F6 szakértői szerint a Core Werewolf csoport 2021 augusztusa óta aktív, és rendszeresen alkalmaz hasonló módszereket, például katonai témájú csali dokumentumokat, hogy megtévessze a célpontokat. A legutóbbi támadások során használt dokumentumok között szerepeltek például katonai kitüntetésekre vonatkozó listák és ellenséges erőkről szóló jelentések.
