Хакерская группировка Core Werewolf атаковала российские оборонно-промышленные организации и субъекты критической информационной инфраструктуры. Около месяца назад злоумышленники стали использовать в своих операциях новый загрузчик собственной разработки, написанный на непопулярном языке программирования Autoit, что усложнило его детектирование.Новости СМИ2 Об этом "Газете.Ru" сообщил руководитель подразделения Threat Intelligence в компании Bi.Zone.
Представители Core Werewolf рассылали фишинговые письма со ссылками, по которым находились RAR-архивы. Внутри тех, в свою очередь, находились самораспаковывающиеся файлы (SFX). Каждый из них содержал вредоносный скрипт (программный код, – "Газета.Ru)", необходимый для его исполнения легитимный интерпретатор (позволяет запускать код как программу без предварительной компиляции – "Газета.Ru"), а также отвлекающий документ в формате PDF. Если пользователь открывал архив, чтобы посмотреть "документы", содержимое SFX-файла автоматически извлекалось в папку для хранения временных файлов (TEMP). Затем с помощью интерпретатора запускался загрузчик, сервис, который устанавливал вредоносное ПО на скомпрометированное устройство.
"Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы. Чем реже инструмент используется в атаках, как в данном случае язык Autoit, тем больше у злоумышленников шансов, что средства защиты не смогут его распознать", – сказал "Газете.Ru" Скулкин.