От фишинговых писем до разрушения IT-систем: Paper Werewolf атакует

Эксперты фиксируют новый всплеск активности известного кластера.


9hz1rf98mlj39flcca7qm8fticxvrk9e.jpg


Эксперты сообщили о всплеске активности группы Paper Werewolf (также известной как GOFFEE), которая действует с 2022 года. За это время киберпреступники провели как минимум семь атак, нацеленных на организации из сферы госуправления, энергетики, финансов, СМИ и других.


gu2t2lyvqk4pl1s3lfqji45uk1r9hww7.png


Пример фишингового письма

Для осуществления атак злоумышленники используют фишинговые письма с вложениями в формате Microsoft Word. Эти документы содержат вредоносные макросы, активируя которые, пользователи позволяют декодировать вредоносное содержимое.


jqjz47yfmlpksd3da6pybvu5bugvzb62.png


Закодированное содержимое вредоносного документа


g4zx3gioymsp9b3cy1tiyan8jpba9ad9.png


Декодированное содержимое вредоносного документа

Примечательно, что для создания рассылок атакующие использовали фреймворк с открытым исходным кодом Gophish, предназначенный для тестирования компаний на подверженность фишингу.


n080tf45f4pfs8s0d0nsgvafu636mbon.png


Фишинговые письма часто отправляются от имени известных организаций, чтобы вызвать доверие у получателей. Однако сами эти компании не имеют отношения к атакам, а их названия используются для маскировки преступных намерений.

Paper Werewolf активно использует PowerShell для выполнения команд, избегая стандартных механизмов защиты. Также отмечено применение фреймворков постэксплуатации и собственных вредоносных программ, что затрудняет их обнаружение и противодействие.

Среди методов злоумышленников — использование вредоносных загрузчиков, маскирующихся под легитимные приложения. Эти программы могут загружать дополнительные вредоносные файлы, отвлекая внимание пользователей на фальшивые документы.

В одной из атак применялся IIS-модуль Owowa, который перехватывает учетные данные при авторизации в сервисе Outlook Web Access. Данные хранятся в оперативной памяти и могут быть удалены по команде атакующих.

Для закрепления в скомпрометированных системах используются скрытые скрипты и реестровые записи. Резервные каналы доступа организуются через инструменты, такие как Chisel , что позволяет атакующим поддерживать связь даже при блокировке основных методов взаимодействия.

Paper Werewolf применяет разнообразные методы для нарушения работы систем жертв, включая удаление реестровых записей и перезагрузку серверов. Также отмечено изменение паролей учетных записей, что затрудняет восстановление контроля над инфраструктурой.