Эксперты компании BI.ZONE сообщили о деятельности хакерской группы Sticky Werewolf (также известной как Cavalry Werewolf), которая с апреля 2023 года совершила не менее 30 атак на государственные организации в России и Беларуси. Для маскировки злоумышленники использовали электронные адреса, схожие с почтой кыргызстанских госслужащих, а в отдельных случаях даже реальные e-mail, указанные на сайтах ведомств КР.
По данным BI.ZONE, хакеры рассылали фишинговые письма с пометкой «важные документы». В приложениях находились вредоносные файлы, замаскированные под PDF или Word, которые устанавливали программы удаленного доступа (Ozone RAT или Darktrack RAT). Эти инструменты позволяли получать полный контроль над компьютером жертвы: перехватывать пароли и переписку, записывать звук и видео с микрофона и веб-камеры, удаленно управлять файлами и процессами.
Для обхода антивирусов и затруднения анализа Sticky Werewolf применяли защитные технологии, например Themida, а также использовали сервис IP Logger, чтобы собирать данные о жертвах — IP-адрес, местоположение, браузер и операционную систему.
Эксперты отмечают, что группа не использует уникальные дорогостоящие инструменты, а применяет доступное «малварь-как-сервис». Несмотря на простоту, атаки оказались успешными благодаря слабой защите госорганизаций.
Кого именно атаковали, пока не раскрывается.
