Российская оборонная промышленность под угрозой Mysterious Werewolf

Специалисты компании Bi.Zone рассказали о новых методах киберпреступной группировки Mysterious Werewolf в атаках на российский ОПК. Хакеры активны с 2023 года и уже успели провести не менее 3 атак на отечественные предприятия.

В последних атаках злоумышленники использовали бэкдор RingSpy. Программа управляется через Telegram-бота и предоставляет хакерам удалённый доступ к скомпрометированным устройствам. Начальным вектором атаки остаётся фишинг. Жертва получает письмо от имени регулятора с «официальным документом», после его открытия эксплуатируется уязвимость WinRAR CVE-2023-38831 и вредоносное ПО попадает на устройство.

Ранее Mysterious Werewolf использовала легитимный инструмент Athena фреймворка Mythic для удалённого доступа. Смена вредоносного ПО произошла с одной целью – оставаться незамеченными в системе и затруднять обнаружение.

Вероятнее всего, группировка продолжит атаковать ОПК, комбинируя способы заражения устройств. Бороться с угрозой можно с помощью повышения цифровой грамотности сотрудников и налаженной системы мониторинга и реагирования на инциденты.