Los investigadores de ciberseguridad han hecho públicos los detalles sobre un grupo de amenazas conocido como Sticky Werewolf, vinculado a ataques dirigidos a entidades en Rusia y Bielorrusia. Los ataques de phishing se dirigieron a una empresa farmacéutica, un instituto de investigación ruso y el sector de la aviación, expandiéndose más allá de su enfoque inicial en organizaciones gubernamentales.
En un informe reciente, Morphisec reveló que las campañas anteriores comenzaban con correos electrónicos de phishing que contenían enlaces para descargar archivos maliciosos. Sin embargo, la última campaña utilizó archivos de archivo que contenían archivos LNK que apuntaban a una carga útil almacenada en servidores WebDAV.
Sticky Werewolf, uno de los muchos actores de amenazas que apuntan a Rusia y Bielorrusia, fue documentado por BI.ZONE en octubre de 2023 y se cree que está activo desde al menos abril de 2023. Ataques anteriores utilizaban correos electrónicos de phishing con enlaces a cargas útiles maliciosas que resultaban en la distribución del troyano de acceso remoto NetWire (RAT).
La nueva cadena de ataque observada por Morphisec implica el uso de un archivo RAR adjunto que, al ser extraído, contiene dos archivos LNK y un documento PDF falso, afirmando ser una invitación a una videoconferencia. Al abrir cualquiera de los archivos LNK, se ejecuta un binario alojado en un servidor WebDAV, lo que desencadena el lanzamiento de un script por lotes de Windows ofuscado.
El objetivo final de la campaña es entregar RATs de mercancía y malware para robar información, como Rhadamanthys y Ozone RAT. «Aunque no hay evidencia definitiva que apunte a un origen nacional específico para el grupo Sticky Werewolf, el contexto geopolítico sugiere posibles vínculos con un grupo de ciberespionaje pro-ucraniano o con hacktivistas, pero esta atribución sigue siendo incierta», señaló Osipov.
Este desarrollo surge cuando BI.ZONE reveló un conjunto de actividades con el nombre en clave Sapphire Werewolf, que se ha atribuido a más de 300 ataques a los sectores de educación, manufactura, TI, defensa e ingeniería aeroespacial rusos utilizando Amethyst, un derivado del popular SapphireStealer de código abierto. La empresa también descubrió conjuntos referidos como Fluffy Wolf y Mysterious Werewolf que han utilizado señuelos de spear-phishing para distribuir Remote Utilities, un minero XMRig, WarZone RAT y un backdoor personalizado llamado RingSpy.
«El backdoor RingSpy permite a un adversario ejecutar comandos de forma remota, obtener sus resultados y descargar archivos de recursos de red», señaló. «El servidor de control y comando del backdoor es un bot de Telegram.»
Vía The Hacker News
