A gangue Scouly Wolf Advanced Persent Ameaça (APT) mais uma vez direcionou uma empresa de engenharia russa em um sofisticado ataque direcionado que foi descoberto pelos analistas do Doctor Web. Isso mostra que o grupo está determinado a obter segredos corporativos.
Esse incidente, ocorrendo em meados de 2025, ecoa um ataque semelhante em 2023, onde o grupo empregou backdoors modulares para infiltrar redes.
A última operação começou no início de maio de 2025, com uma enxurrada de e -mails de phishing disfarçados de documentos financeiros.
Esses e -mails continham enganosos PDF chamarizes e os executáveis da habitação dos arquivos de Arquivos Protegidos por Senha disfarçados de PDFs através de extensões duplas como “Aк с сеии.pdf.exe”.
Campanha de espionagem cibernética
Após a execução, esses arquivos implantaram Trojan.UpDatar.1, um downloader projetado para buscar componentes de malware subsequentes, incluindo Trojan.updatar.2 e Trojan.updatar.3, formando o núcleo do backdoor modular da Updatar.
Esse backdoor facilita a exfiltração de dados, o reconhecimento do sistema e o acesso persistente, com aprimoramentos como a ofuscação Rockyou uma técnica que alavancava a codificação XOR randomizada e as seqüências de dicionário da lista de senha Rockyou.txt para evitar a análise estática.
A cadeia de ataques se desenrolou em vários pontos de extremidade, explorando sistemas desprotegidos e movimento lateral táticas.
Na máquina de vítima inicial, sem o Dr.Web Antivirus, Trojan.UpDatar.1 instalou com sucesso módulos adicionais dentro de uma hora, permitindo a implantação do Meterpreter na estrutura de metasploit por meio de tarefas de serviço de bits.
Os invasores então utilizaram o FileManager.exe para roubo de arquivo, ferramenta.Handlekatz para dumping de processo LSASS para colher credenciais e Wrapper RDP (program.rdpwrap.7) para acesso remoto. Ferramentas de tunelamento de trânsito como ferramenta.Chisel e Tool.FRP mascarou ainda mais suas atividades.
O spread lateral para um segundo dispositivo ocorreu em 14 de maio, usando credenciais roubadas para execução de comando remoto, seguido pela instalação manual dos módulos de atualização após tentativas automatizadas de antivírus. Em 3 de junho, o Meterpreter foi incorporado, concedendo acesso à Shell.
Arsenal de malware em operações de lobos escamosos
O compromisso do terceiro sistema destacou a adaptabilidade dos atacantes, começando com o abuso de credenciais do RDP em 23 de junho.
As cargas úteis iniciais de metasploit, codificadas nos scripts Base64 PowerShell, direcionando o endereço 77.105.161.30, foram frustrados por detecções de Dr.Web como DPC: BAT.STARTER.613.
Sem se intrometer, o grupo girou para RemCom (Program.Remoteadmin.877), executando comandos para desativar o Defender do Windows por meio de cmdlets PowerShell, como o Set-MPPpeference por exclusões e a desativação de monitoramento em tempo real.
Consultas contra os Serviços Dr.Web (por exemplo, Serviço WMIC onde “Nome = ‘DrwebavService'” Get Pathname) teve como objetivo identificar e neutralizar proteções, enquanto os bits transferidos tentavam implantar shellcode.ex (backdoor.244) e instalador.exe (TROJAN.UDATAR.1). Apesar desses esforços, as intervenções antivírus bloquearam as cargas úteis.
Análise de infraestrutura revelado Vários domínios C2, incluindo Roscosmosmeet[.]Online para downloads, atualizando serviços[.]com para Trojan.Updatar.3 Comunicações e outros como Adobe-Updater[.]líquido.
Os artefatos ligavam o malware ao lobo escamosa, consistente com campanhas anteriores, evitando malware como serviço para ferramentas personalizadas e utilitários de código aberto, como a Metasploit, juntamente com aplicativos de chamariz, exibindo alertas de segurança falsos para enganar os usuários.
Amostras não utilizadas adicionais, como Trojan.uploader.36875 para exfiltração e backdoor.siggen2.5423 para controle VNC, ressalta o arsenal em expansão do grupo.
Esse ataque ressalta o cenário de ameaças em evolução, onde atores adequados como lobos escamosos misturam phishing, roubo de credenciais e ferramentas pós-exploração para ignorar as defesas.
As organizações devem priorizar configurações abrangentes de antivírus, patches oportunos e monitoramento vigilante para mitigar tais intrusões persistentes, pois as configurações padrão geralmente se mostram insuficientes em adversários determinados.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!