Наградные списки в роли приманки

Шпионы Core Werewolf атаковали военные организации Беларуси и России.

Весенняя активность

Специалисты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали активность группировки шпионов Core Werewolf, направленную на военные организации Беларуси и России.

Core Werewolf – кибершпионская группа, которая активно атакует российские и белорусские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 г. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.

Файл из онлайн-песочницы

2 мая 2025 г. на общедоступную онлайн-песочницу был загружен .eml файл. Электронное письмо было отправлено 29 апреля 2025 г. с почтового ящика al.gursckj@mail[.]ru и содержало вложение с защищённым паролем архивом с названием «Списки_на_нагр.7z», который специалисты F6 отнесли к арсеналу группы Core Werewolf.

Внутри находился исполняемый файл «Списки на уточнение вс представляемых к награждению гос награды.exe», выступающий в роли дроппера. При запуске он распаковывает содержимое во временный каталог, одновременно инициируя отображение PDF-файла-приманки «Списки на уточнение вс представляемых к награждению гос награды.pdf» и CMD-скрипта, запускающего цепочку вредоносных действий.

Технология атаки

Первым запускается файл crawl.cmd, который извлекает содержимое из ранее распакованного защищённого паролем архива и передаёт управление скрипту kingdom.bat. Этот скрипт создаёт конфигурационный файл ultravnc.ini для UltraVNC, в котором заранее задан пароль, включен перенос файлов, разрешено управление удаленным входом и отключен запрос на подключение.

Затем вызывается mosque.bat, который завершает уже запущенные процессы UltraVNC, проверяет связь с C2 stroikom-vl[.]ru, и запускает VNC-клиент под видом Sysgry.exe.

Кстати, файлы-приманки в виде наградных списков уже неоднократно использовались в атаках этой группировки, наряду с файлами, содержащими координаты различных военных объектов, и прочими документами.

Удаленный доступ к системе жертвы

17 апреля 2025 г. аналитики F6 был обнаружен ещё один вредоносный исполняемый файл – undoubtedly.exe, загруженный на сервис VirusTotal. Этот файл также был приписан группе Core Werewolf и, вероятно, применялся при атаках на российские военные организации.

Об этом свидетельствует извлечение дроппером PDF-документа «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf», содержащего в себе информацию военного характера.

Помимо PDF-файла, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с участием файлов exception.bat и divine.bat. В результате выполнялась проверка соединения с другим C2 – ubzor[.]ru и запускался тот же исполняемый файл UltraVNC, обеспечивавший злоумышленникам удаленный доступ к системе жертвы.