Госучреждения России подверглись кибератаке со стороны группировки Cavalry Werewolf
Антивирусная лаборатория «Доктор Веб» раскрыла детали целевой атаки на российскую государственную организацию. Специалисты идентифицировали ранее неизвестные вредоносные программы и инструменты, используемые хакерской группировкой Cavalry Werewolf для кражи конфиденциальных данных и закрепления в сетевой инфраструктуре, подробнее в материале SecPost.
В июле 2025 года хакерская группировка Cavalry Werewolf провела атаку на учреждение из государственного сектора РФ, об этом сообщают эксперты антивирусной лаборатории «Доктор Веб», которые были привлечены для расследования инцидента после того, как клиент зафиксировал подозрительную рассылку спама с одного из корпоративных почтовых ящиков. Расследование позволило выявить целый арсенал инструментов, используемых группировкой.
Первоначальное проникновение было осуществлено через классический фишинг: сотрудникам пришли письма с вредоносными вложениями, замаскированными под служебные документы. В архивах находился бэкдор BackDoor.ShellNET.1, который открывал злоумышленникам удаленный доступ к системе.
Используя BackDoor.ShellNET.1, злоумышленники продолжили закрепление в целевой системе. Они загрузили несколько вредоносных программ через стандартное для ОС Windows средство Bitsadmin (C:\Windows\SysWOW64\bitsadmin.exe), предназначенное для управления заданиями по передаче файлов. Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы.
Первой из угроз, загруженных через BackDoor.ShellNET.1, была троянская программа-стилер Trojan.FileSpyNET.5. С ее помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).
Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и незаметного подключения к компьютеру для дальнейшего выполнения на нем команд, в том числе — с возможностью установки другого вредоносного ПО.
Для сбора информации о системе злоумышленники использовали простые команды: whoami, ipconfig /all, net user. Для закрепления в системе они прописывали свои вредоносные программы в автозагрузку через реестр Windows.
Среди их инструментов были:
- Trojan.FileSpyNET.5: троянец-стилер, который занимался кражей документов (.doc, .pdf, .xlsx) и изображений.
- BackDoor.Tunnel.41: бэкдор для создания скрытых SOCKS5-туннелей, обеспечивающих злоумышленникам постоянный доступ к системе.
- Различные другие бэкдоры, в том числе управляемые через Telegram-ботов, что позволяло хакерам дистанционно отдавать команды зараженным компьютерам.
Для сбора информации о системе злоумышленники использовали простые команды: whoami, ipconfig /all, net user. Для закрепления в системе они прописывали свои вредоносные программы в автозагрузку через реестр Windows.
Аналитики «Доктор Веб» выделили следующие характерные черты группировки Cavalry Werewolf:
- Активное использование открытого исходного кода для создания своих инструментов.
- Применение фишинга, имитирующего письма от госорганов, для первоначального проникновения.
- Использование легитимных системных утилит (PowerShell, bitsadmin, curl) для загрузки вредоносных программ, что помогает скрыть активность.
- Размещение своих инструментов в публичных папках, таких как C:\users\public\pictures и C:\users\public\downloads.
Расследование показало, что арсенал хакеров гораздо шире. Группировка Cavalry Werewolf не привязана к единому набору вредоносных программ и постоянно его обновляет. Из-за этого сценарий атаки — от способа проникновения до последующих действий в сети — может меняться от организации к организации.
