Хакеры под видом сотрудников разных киргизских министерств рассылали жертвам письма с пометкой «важные документы». На самом же деле в прикрепленных RAR-архивах было спрятано вредоносное ПО.

«Это были не коммерческие, массовые программы, которые можно купить на теневых площадках. Злоумышленники создавали собственные: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram», — говорится в сообщении BI.ZONE. По словам экспертов, эти инструменты позволяют удаленно управлять скомпрометированным устройством.

Для своих рассылок хакеры чаще всего создавали почтовые ящики, похожие на настоящие адреса чиновников. Однако в некоторых случаях использовали реальный e-mail, который был указан в качестве контактного на сайте одной из киргизских госструктур.

«Фишинговые письма Cavalry Werewolf не выбивались из стилистики официальной переписки. Правдоподобный фишинг, который сложно распознать, а также использование самописных программ и активные эксперименты с арсеналом — характерный почерк шпионских группировок», — рассказал РБК руководитель BI.ZONE Threat Intelligence Олег Скулкин. Он отметил, что главная задача преступников как можно дольше оставаться незамеченными в «скомпрометированной инфраструктуре».

В BI.ZONE не исключают, что хакеры из Cavalry Werewolf готовят новые атаки — против граждан и компаний Таджикистана и стран Ближнего Востока. Специалисты обнаружили созданные злоумышленниками файлы с названиями на таджикском и арабском языках.

Кроме того, группировка тестирует новые вредоносные программы, в частности, троян удаленного доступа Async RAT. В отличие от самописных инструментов, которые были недавно использованы против российских организаций, он бесплатен и доступен на одной из популярных платформ для хостинга IT-проектов. Однако для своих задач злоумышленники выбрали модификацию, переписанную на языке программирования Rust, выяснили киберзащитники.

https://news.mail.ru/incident/68041507/?frommail=1&utm_partner_id=515