合法软件变武器！Rare Wolf 组织突袭俄罗斯数家百企业

HackerNews 编译，转载请注明出处：

Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。

“该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。”

攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。

根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。

卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。

压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。

“该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。

这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。

该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。

卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。”

与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。

该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。

“DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文