El actor de amenaza conocido como Hombre lobo raro (anteriormente Wolf Rare) se ha relacionado con una serie de ataques cibernéticos dirigidos a Rusia y los países de los Estados Independientes (CIS) de la Commonwealth.
“Una característica distintiva de esta amenaza es que los atacantes favorecen el uso de software genuino de terceros sobre el ampliación de sus propios binarios maliciosos”, dijo Kaspersky. “La funcionalidad maliciosa de la campaña descrita en este artículo se implementa a través de archivos de comandos y scripts de PowerShell”.
La intención de los ataques es establecer llegada remoto a hosts comprometidos y credenciales de sifón, e implementar el minero de criptomonedas XMRIG. La actividad impactó a cientos de usuarios rusos que abarcaban empresas industriales y escuelas de ingeniería, con un beocio número de infecciones asimismo registradas en Bielorrusia y Kazajstán.
El hombre lobo raro, asimismo conocido por los nombres bibliotecarios Ghouls y Rezet, es el apodo asignado a un peña reformista de amenaza persistente (APT) que tiene un historial de organizaciones en huelga en Rusia y Ucrania. Se cree que es activo al menos desde 2019.
Según Bi.zone, el actor de amenaza obtiene llegada original utilizando correos electrónicos de phishing, aprovechando el punto de apoyo para robar documentos, datos de mensajeros de telegrama y eliminar herramientas como Mipko Employee Preceptor, WebBrowserPassView y Control de Defender para interactuar con el sistema infectado, las contraseñas de cosecha y el software antivirus.
El postrer conjunto de ataques documentados por Kaspersky revela el uso de correos electrónicos de phishing como transporte de entrega de malware, utilizando archivos protegidos con contraseña que contienen archivos ejecutables como punto de partida para activar la infección.
Presente interiormente del archivo hay un instalador que se utiliza para implementar una aparejo legítima llamamiento Minimizador de la bandeja 4T, así como otras cargas aperos, incluido un documento PDF señuelo que imita una orden de cuota.
“Este software puede minimizar la ejecución de aplicaciones a la bandeja del sistema, lo que permite a los atacantes oscurecer su presencia en el sistema comprometido”, dijo Kaspersky.
Estas cargas aperos intermedias se utilizan para obtener archivos adicionales de un servidor remoto, incluido el control de defensores y el blat, una utilidad legítima para mandar datos robados a una dirección de correo electrónico controlada por el atacante a través de SMTP. Los ataques asimismo se caracterizan por el uso del software de escritorio remoto Anydesk y un script por lotes de Windows para solucionar el robo de datos y la implementación del minero.
Un aspecto sobresaliente del script por lotes es que garrocha un script PowerShell que incorpora capacidades para despertar automáticamente el sistema de víctimas a la hora específico y permitir a los atacantes llegada remoto a él para una ventana de cuatro horas a través de Anydesk. La máquina se apaga a las 5 am por medio de una tarea programada.
“Es una técnica popular beneficiarse el software genuino de terceros para fines maliciosos, lo que dificulta la detección y atribución de la actividad adecuada”, dijo Kaspersky. “Toda la funcionalidad maliciosa todavía se sostén en los scripts de instalador, comando y PowerShell”.
La divulgación se produce cuando las tecnologías positivas revelaron que un peña de delitos cibernético motivado financieramente denominado Darkgaboon ha estado apuntando a entidades rusas utilizando ransomware Lockbit 3.0. Se dice que Darkgaboon, descubierto por primera vez en enero de 2025, está operante desde mayo de 2023.
Los ataques, dijo la compañía, emplean correos electrónicos de phishing con archivos de archivo que contienen documentos de cebo RTF y archivos de pantalla de pantalla de pantalla de Windows para soltar el encriptador Lockbit y los troyanos como Xworm y Revenge Rat. El uso de herramientas fácilmente disponibles se considera un intento por parte de los atacantes para combinarse con una actividad cibercriminal más amplia y desafiar los esfuerzos de atribución.
“Darkgaboon no es un cliente del servicio Lockbit Raas y actúa de forma independiente, como lo indica el uso de una traducción pública apto del ransomware Lockbit, la partida de trazas de exfiltración de datos en las empresas atacadas y las amenazas tradicionales de anunciar información robada en el portal (sitio de datos)”, dijo el investigador de tecnologías positivas Victor Kazakv.
