Pesquisadores de cibersegurança divulgaram detalhes de um ator de ameaças conhecido como Sticky Werewolf que foi vinculado a ataques cibernéticos direcionados a entidades na Rússia e Belarus.

Os ataques de phishing tinham como alvo uma empresa farmacêutica, um instituto de pesquisa russo que lida com microbiologia e desenvolvimento de vacinas e o setor de aviação, expandindo além de seu foco inicial em organizações governamentais, disse a Morphisec em um relatório na semana passada.

“Em campanhas anteriores, a cadeia de infecção começava com e-mails de phishing contendo um link para baixar um arquivo malicioso de plataformas como gofile.io”, disse o pesquisador de segurança Arnold Osipov. “Nesta última campanha, foram usados arquivos de arquivo contendo arquivos LNK apontando para um payload armazenado em servidores WebDAV.”

Sticky Werewolf, um dos muitos atores de ameaças direcionados à Rússia e Belarus, como Cloud Werewolf, Quartz Wolf, Red Wolf e Scaly Wolf, foi documentado pela primeira vez pela BI.ZONE em outubro de 2023. Acredita-se que o grupo esteja ativo desde pelo menos abril de 2023.

Ataques anteriores documentados pela empresa de cibersegurança aproveitaram e-mails de phishing com links para cargas maliciosas que culminaram na implantação do trojan de acesso remoto NetWire, cuja infraestrutura foi derrubada no início do ano passado após uma operação policial.

A nova cadeia de ataque observada pela Morphisec envolve o uso de um anexo de arquivo RAR que, quando extraído, contém dois arquivos LNK e um documento PDF falso, sendo este último uma suposta convite para uma videoconferência e instando os destinatários a clicarem nos arquivos LNK para obter a pauta da reunião e a lista de distribuição por e-mail.

A abertura de qualquer um dos arquivos LNK aciona a execução de um binário hospedado em um servidor WebDAV, o que leva ao lançamento de um script em lote do Windows ofuscado. O script, por sua vez, é projetado para executar um script AutoIt que, em última análise, injeta a carga útil final, ao mesmo tempo que contorna software de segurança e tentativas de análise.

“Este executável é um arquivo NSIS autoextraível que faz parte de um crypter conhecido anteriormente como CypherIT,” disse Osipov. “Embora o crypter original CypherIT não esteja mais sendo vendido, o executável atual é uma variante dele, como observado em alguns fóruns de hacking.”

O objetivo final da campanha é entregar trojans de acesso remoto comuns e malwares ladrões de informações, como Rhadamanthys e Ozone RAT.

“Embora não haja evidências definitivas que apontem para uma origem nacional específica para o grupo Sticky Werewolf, o contexto geopolítico sugere possíveis conexões com um grupo de ciberespionagem pró-ucraniano ou hacktivistas, mas essa atribuição continua incerta,” disse Osipov.

O desenvolvimento vem à tona quando a BI.ZONE revelou um cluster de atividades codinome Sapphire Werewolf que foi atribuído a mais de 300 ataques nos setores de educação, manufatura, TI, defesa e engenharia aeroespacial russos usando Amethyst, um desdobramento do popular software livre SapphireStealer.

A empresa russa, em março de 2024, também descobriu clusters referidos como Fluffy Wolf e Mysterious Werewolf que usaram iscas de spear-phishing para distribuir Remote Utilities, minerador XMRig, WarZone RAT e um backdoor sob medida chamado RingSpy.

“O backdoor RingSpy permite a um adversário executar comandos remotamente, obter seus resultados e baixar arquivos de recursos de rede,” observou. “O servidor de [comando e controle] do backdoor é um bot do Telegram.”