Цели весенней сессии атак Silent Werewolf адресные – несколько десятков российских организаций.

Шпионаж – задача каждой пятой кибератаки на российские компании. Злоумышленники стремятся украсть конфиденциальную информацию, остаться незамеченными, запутав следы. Кибершпионы используют уникальные инструменты и изобретают новые способы маскировки.

В марте исследователи BI.ZONE зафиксировали две новые кампании группировки Silent Werewolf, в ходе которых злоумышленники вновь «сменили имидж». Для каждой серии атак кибершпионы разработали новый уникальный загрузчик — программу, которая устанавливается на устройство жертвы и ставит ПО для кражи данных.

Для доставки замаскированного загрузчика использовались фишинговые письма от лица реально существующих компаний. Иронично, что жертвы получили загрузчик под видом… рекомендаций по защите от кибератак.

Когда загрузчик запускал пользователь из атакуемой организации, скачивалась вредоносная нагрузка. Если загрузчик анализировался повторно в «песочнице» (элемент киберзащиты, где  в виртуальной среде запускается подозрительный объект и проверяется, представляет ли он угрозу), в среду анализа загружался файл языковой модели LlaMA.

Первая из атак Silent Werewolf была направлена на российские организации, вторая — на компании из Молдовы и, предположительно, России. Злоумышленники атаковали порядка 80 организаций различных отраслей, включая атомную промышленность, приборо-, авиа- и машиностроение.

С фишинговых рассылок начинается более половины кибератак на российские организации. Защитить почту помогут сервисы фильтрации почтового трафика. Например, BI.ZONE Mail Security инспектирует все сообщения, используя более 100 механизмов фильтрации, созданных на основе машинного обучения, статистического, сигнатурного и эвристического анализа.