Хакеры из группировки Rare Werewolf, ранее известной как Rare Wolf, проводят скрытные кибератаки на предприятия в России, Беларуси и Казахстане.
Вместо вирусов собственного производства они используют легальные программы и PowerShell-скрипты, что позволяет долго оставаться незамеченными и усложняет расследование.
По данным источника, злоумышленники маскируют вредоносную активность под работу законного ПО. Начинается всё с фишингового письма с архивом, защищённым паролем. Внутри — якобы платёжный документ и установщик полезного инструмента 4t Tray Minimizer, который сворачивает приложения в трей. Пока пользователь ничего не подозревает, в систему подтягиваются дополнительные модули с удалённого сервера.
В процессе на заражённый компьютер загружаются программы вроде Defender Control (для отключения антивируса), Blat (отправка данных через SMTP), а также популярный удалённый доступ AnyDesk. Скрипты запускают PowerShell-команды, которые активируют систему ночью — в 01:00 — и дают хакерам четырёхчасовой доступ, после чего устройство выключается по расписанию в 05:00.
Среди целей атаки — сбор логинов, паролей, документов, переписок в Telegram и внедрение криптомайнера XMRig. В частности, атаки были зафиксированы на промышленных предприятиях и в инженерных вузах. Для отслеживания активности в системе применялись утилиты Mipko Employee Monitor и WebBrowserPassView.
Эта стратегия затрудняет выявление вредоносной активности. Всё, что делает злоумышленник, завёрнуто в обёртку легального софта. Даже если защитные механизмы и срабатывают, они видят лишь известные приложения.
Rare Werewolf действует с 2019 года и ранее атаковал организации в России и Украине. Сейчас в их фокусе — финансовая выгода и кибершпионаж.
На фоне этих атак исследователи также зафиксировали активность другой группы — DarkGaboon, распространяющей вымогатель LockBit 3.0. Но в отличие от неё, Rare Werewolf не шифрует файлы, а предпочитает оставаться в тени — наблюдать, собирать и выкачивать ресурсы жертвы.
Вместо вирусов собственного производства они используют легальные программы и PowerShell-скрипты, что позволяет долго оставаться незамеченными и усложняет расследование.
По данным источника, злоумышленники маскируют вредоносную активность под работу законного ПО. Начинается всё с фишингового письма с архивом, защищённым паролем. Внутри — якобы платёжный документ и установщик полезного инструмента 4t Tray Minimizer, который сворачивает приложения в трей. Пока пользователь ничего не подозревает, в систему подтягиваются дополнительные модули с удалённого сервера.
В процессе на заражённый компьютер загружаются программы вроде Defender Control (для отключения антивируса), Blat (отправка данных через SMTP), а также популярный удалённый доступ AnyDesk. Скрипты запускают PowerShell-команды, которые активируют систему ночью — в 01:00 — и дают хакерам четырёхчасовой доступ, после чего устройство выключается по расписанию в 05:00.
Среди целей атаки — сбор логинов, паролей, документов, переписок в Telegram и внедрение криптомайнера XMRig. В частности, атаки были зафиксированы на промышленных предприятиях и в инженерных вузах. Для отслеживания активности в системе применялись утилиты Mipko Employee Monitor и WebBrowserPassView.
Эта стратегия затрудняет выявление вредоносной активности. Всё, что делает злоумышленник, завёрнуто в обёртку легального софта. Даже если защитные механизмы и срабатывают, они видят лишь известные приложения.
Rare Werewolf действует с 2019 года и ранее атаковал организации в России и Украине. Сейчас в их фокусе — финансовая выгода и кибершпионаж.
На фоне этих атак исследователи также зафиксировали активность другой группы — DarkGaboon, распространяющей вымогатель LockBit 3.0. Но в отличие от неё, Rare Werewolf не шифрует файлы, а предпочитает оставаться в тени — наблюдать, собирать и выкачивать ресурсы жертвы.
