O ator de ameaças conhecido como Rare Werewolf (anteriormente Rare Wolf) foi associado a uma série de ataques cibernéticos direcionados à Rússia e aos países da Comunidade dos Estados Independentes (CIS).
"Uma característica distintiva desta ameaça é que os atacantes preferem usar softwares legítimos de terceiros em vez de desenvolver seus próprios binários maliciosos," disse a Kaspersky.
A funcionalidade maliciosa da campanha descrita neste artigo é implementada por meio de arquivos de comando e scripts do PowerShell.
A intenção dos ataques é estabelecer acesso remoto a hosts comprometidos, extrair credenciais e implantar o minerador de criptomoedas XMRig.
A atividade impactou centenas de usuários russos abrangendo empresas industriais e escolas de engenharia, com um número menor de infecções também registrado em Belarus e Cazaquistão.
Rare Werewolf, também conhecido pelos nomes Librarian Ghouls e Rezet, é o nome atribuído a um grupo de ameaça persistente avançada (APT) que tem um histórico de ataques a organizações na Rússia e Ucrânia.
Acredita-se que está ativo pelo menos desde 2019.
Conforme a BI.ZONE, o ator de ameaça obtém acesso inicial usando e-mails de phishing, aproveitando o ponto de apoio para roubar documentos, dados do mensageiro Telegram e introduzir ferramentas como Mipko Employee Monitor, WebBrowserPassView e Defender Control para interagir com o sistema infectado, colher senhas e desativar software antivírus.
O último conjunto de ataques documentado pela Kaspersky revela o uso de e-mails de phishing como um veículo de entrega de malware, utilizando arquivos de arquivo protegidos por senha contendo arquivos executáveis como ponto de partida para ativar a infecção.
Presente dentro do arquivo está um instalador que é usado para implantar uma ferramenta legítima chamada 4t Tray Minimizer, bem como outros payloads, incluindo um documento PDF isca que imita uma ordem de pagamento.
"Este software pode minimizar aplicações em execução para a bandeja do sistema, permitindo que os atacantes ocultem sua presença no sistema comprometido," disse a Kaspersky.
Esses payloads intermediários são então usados para buscar arquivos adicionais de um servidor remoto, incluindo Defender Control e Blat, uma utilidade legítima para enviar dados roubados para um endereço de e-mail controlado pelo atacante por meio de SMTP.
Os ataques também são caracterizados pelo uso do software de desktop remoto AnyDesk e um script de lote do Windows para facilitar o roubo de dados e a implantação do minerador.
Um aspecto saliente do script de lote é que ele inicia um script do PowerShell que incorpora capacidades para automaticamente acordar o sistema da vítima às 1 da manhã, horário local, e permitir o acesso remoto dos atacantes a ele por uma janela de quatro horas via AnyDesk.
A máquina é então desligada às 5 da manhã por meio de uma tarefa agendada.
"É uma técnica comum aproveitar softwares legítimos de terceiros para fins maliciosos, o que torna a detecção e a atribuição de atividades de APT mais difíceis," disse a Kaspersky.
Toda a funcionalidade maliciosa ainda depende do instalador, comando e scripts do PowerShell.
A divulgação ocorre enquanto a Positive Technologies revelou que um grupo de cibercrime motivado financeiramente chamado DarkGaboon tem como alvo entidades russas usando o ransomware LockBit 3.0.
O DarkGaboon, descoberto pela primeira vez em janeiro de 2025, diz-se estar operacional desde maio de 2023.
Os ataques, segundo a empresa, empregam e-mails de phishing contendo arquivos de arquivo com documentos isca em RTF e arquivos de screensaver do Windows para soltar o criptografador LockBit e trojans como XWorm e Revenge RAT.
O uso de ferramentas prontamente disponíveis é visto como uma tentativa por parte dos atacantes de se misturar com a atividade cibercriminosa mais ampla e desafiar os esforços de atribuição.
"O DarkGaboon não é um cliente do serviço RaaS do LockBit e atua de forma independente, como indicado pelo uso de uma versão publicamente disponível do ransomware LockBit, a ausência de vestígios de exfiltração de dados nas empresas atacadas e as ameaças tradicionais de publicar informações roubadas no portal [de vazamento de dados]", disse o pesquisador da Positive Technologies, Victor Kazakov.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...