Хакерская группа Core Werewolf провела значительное количество атак против отечественных оборонных предприятий и субъектов критической информационной инфраструктуры. В прошлом месяце преступники начали использовать в своих атаках новый загрузчик, созданный с применением популярного языка программирования AutoIt, что усложняет его детектирование, сообщил глава подразделения Threat Intelligence компании BI.ZONE Олег Скулкин.
По словам экспертов по информационной безопасности из компании BI.ZONE, киберпреступники из группировки Core Werewolf на первом этапе атак рассылают фишинговые электронные письма со ссылками, при переходе по которым начинается скачивание RAR-архива.
Внутри архива находятся самораспаковывающиеся файлы (SFX), каждый из которых содержит вредоносный скрипт, а также легитимный интерпретатор, необходимый для его исполнения. В качестве отвлекающего манёвра злоумышленники используют документы в формате PDF.
В случае, если пользователь запускал архив на своём компьютере для просмотра «документа», происходило автоматическое извлечение SFX-файла в папку для хранения временных файлов. После этого с использованием интерпретатора осуществлялся запуск загрузчика, устанавливающего вредоносное программное обеспечение на заражённое устройство.
Олег Скулкин подчеркнул, что уровень выявления инструментов, применяемых киберпреступниками Core Werewolf, постоянно растёт. Поэтому злоумышленники корректируют свой арсенал вредоносных средств, надеясь, что подобный подход позволит им дольше оставаться скрытыми в сетевой инфраструктуре скомпрометированных компаний.
Чем реже используется конкретный инструмент, например язык программирования AutoIt, тем больше у хакеров шансов, что современные средства защиты не смогут его распознать в течение определённого времени.