HomeNews* Eine fortgeschrittene Cybergruppe namens Rare Werewolf hat Angriffe in Russland und den GUS-Staaten (CIS) durchgeführt, hauptsächlich mit dem Ziel, die Industrie- und Bildungssektoren anzugreifen.
- Die Angreifer verwenden legitime, Drittanbieter-Tools und PowerShell-Skripte anstelle von maßgeschneiderter Malware, was die Erkennung erschwert.
- Phishing-E-Mails liefern Malware, die in passwortgeschützten Archiven versteckt ist, die Kryptowährungs-Mining-Software bereitstellen und Benutzerdaten stehlen.
- Hunderte von russischen Nutzern, einschließlich derjenigen in Weißrussland und Kasachstan, waren betroffen. Die Angreifer konzentrierten sich darauf, Zugangsdaten zu stehlen und den Fernzugriff zu ermöglichen.
- Eine separate Gruppe, DarkGaboon, hat seit 2023 LockBit 3.0 Ransomware in finanziell motivierten Angriffen auf russische Organisationen eingesetzt.
Eine Cybergruppe, die als Rare Werewolf bekannt ist, wurde mit einer Reihe von Cyberangriffen in Verbindung gebracht, die sich gegen Russland und andere GUS-Länder richten. Die Angreifer nutzten Phishing-E-Mails, um bösartige Dateien zu verbreiten, mit dem Ziel, Remotezugriff zu erlangen, Anmeldeinformationen zu stehlen und eine als XMRig bezeichnete Kryptowährungs-Mining-Software zu installieren. Diese Angriffe haben mehrere hundert Benutzer betroffen, darunter Mitarbeiter von Industriefirmen und technischen Schulen in Russland, Weißrussland und Kasachstan.
- Anzeige - Laut den Forschern von Kaspersky vermeidet die Gruppe traditionelle Malware und verwendet stattdessen Befehlsdateien und PowerShell-Skripte in Kombination mit legitimer Software, um ihre Angriffe durchzuführen. “Ein charakteristisches Merkmal dieser Bedrohung ist, dass die Angreifer die Verwendung legitimer Software von Drittanbietern bevorzugen, anstatt ihre eigenen bösartigen Binärdateien zu entwickeln”, erklärte Kaspersky. Die Angreifer verschickten Phishing-E-Mails mit passwortgeschützten Archiven mit ausführbaren Dateien, die oft als Dokumente wie Zahlungsanweisungen getarnt waren.
Sobald sie sich im System des Opfers befanden, installierten die Angreifer Software wie 4t Tray Minimizer, die laufende Apps in der Taskleiste versteckt. Sie setzten auch Tools ein, um Antivirensoftware zu deaktivieren und gestohlene Daten mit dem legitimen Programm Blat an von Angreifern kontrollierte E-Mail-Konten zu senden. Das Team verwendete die AnyDesk-Remote-Desktop-Software und geplante Skripte, um den Zugriff während bestimmter Zeiten aufrechtzuerhalten. “Alle bösartigen Funktionen beruhen immer noch auf dem Installationsprogramm, dem Befehl und den PowerShell-Skripten”, sagte Kaspersky.
Rare Werewolf – auch bekannt als Librarian Ghouls und Rezet – hat bereits Organisationen in Russland und der Ukraine ins Visier genommen, mit bemerkenswerten Aktivitäten seit 2019. Ihre Strategie besteht darin, bekannte Dienstprogramme zu nutzen, um die Erkennung und Zuordnung zu erschweren.
In einer separaten Entwicklung berichtete Positive Technologies, dass die finanziell motivierte Gruppe DarkGaboon seit Mitte 2023 russische Organisationen ins Visier nimmt. Die Gruppe verwendet Phishing-E-Mails mit Archivdateien oder Windows-Bildschirmschonerdateien, um LockBit 3.0 Ransomware und andere Remote-Access-Trojaner wie XWorm und Revenge RAT zu aktivieren. Wie der Forscher von Positive Technologies, Victor Kazakov, feststellte, “ist DarkGaboon kein Kunde des LockBit RaaS-Dienstes und handelt unabhängig…” Die Gruppe verwendet öffentliche Versionen von LockBit und droht damit, gestohlene Daten online zu veröffentlichen.
Diese Aktivitäten verdeutlichen die fortwährenden Bedrohungen für Organisationen in Russland und den umliegenden Regionen, wobei Angreifer auf gängige, legale Software-Tools zurückgreifen, um der Entdeckung zu entgehen und die Zuordnung zu erschweren.
Vorherige Artikel:
- Ant International, Deutsche Bank Partner, um die Einführung von Stablecoins zu erkunden
- SocGen’s SG Forge startet US-Dollar-Stablecoin auf Ethereum, Solana
- Canary Capital bildet einen Delaware Trust für potenziellen Injective (INJ) ETF
- Frauen verlieren 50.000 $ in Krypto-Betrügereien, nachdem sie auf PM-Facebook-Anzeigen geklickt haben
- SEC schlägt ‚Innovationsausnahme‘ vor, um Onchain-Krypto-Produkte zu fördern
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
