Специалисты компании «Доктор Веб» сообщили о новой целевой атаке на предприятие машиностроительной отрасли, ранее уже подвергавшееся действиям той же кибергруппировки. По данным антивирусной компании, атака началась 12 мая 2025 года, но была выявлена только в конце июня, когда система защиты на одном из компьютеров регулярно начала фиксировать подозрительную активность.
В отчёте говорится, что взлом начался с компьютера, не защищённого антивирусом Dr.Web. Через него вредонос распространился по корпоративной сети. Злоумышленники применяли фишинговые письма с PDF-приманками и архивами, в которых исполняемые файлы были замаскированы под документы. Первым этапом заражения стал загрузчик Trojan.Updatar.1, с помощью которого происходила установка модульного бэкдора.
Для сокрытия кода и усложнения анализа хакеры применили обфускацию на базе списка популярных паролей RockYou.txt. После проникновения в сеть они активировали инструменты Meterpreter из Metasploit, утилиты для кражи учётных данных, туннелирования трафика и администрирования, которые сложно выявить с помощью обычных средств защиты.
В некоторых случаях Dr.Web блокировал попытки загрузки компонентов, но преступники упорно продолжали тестировать новые подходы, в том числе запуск RemCom для отключения системной защиты и поиска следов работы антивируса.
По мнению «Доктор Веб», за атакой стоит группировка Scaly Wolf, известная по предыдущим операциям против того же предприятия. На этот раз они не стали использовать вредоносы по модели MaaS (malware-as-a-service), но вместо этого задействовали собственный бэкдор, утилиты с открытым исходным кодом и поддельные системные уведомления, призванные ввести пользователей в заблуждение.