Просчитались, но где? Атаки Scaly Wolf провалились из‑за грубой ошибки

Вместо стилера White Snake новый загрузчик устанавливал на скомпрометированные устройства легитимный файл

23 апреля 2024 г.

Эти злоумышленники уже известны по неоднократным атакам на организации России и Беларуси. Вновь группировка активизировалась в конце марта 2024 года: провела с разных email-адресов не менее шести фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.

Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и так далее.

Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP‑архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.

Злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке. Вместо ВПО в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели — не получали доступ к чувствительным данным и скомпрометированной системе.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

В ходе неудавшейся кампании Scaly Wolf использовала последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год — за 800 вместо 1100, бессрочно — за 1000 вместо 1950.

Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации нашего исследования о применении White Snake в атаках на российские компании. Вероятнее всего, подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.

Чтобы выявить методы закрепления на конечных точках IT‑инфраструктуры, которые применяет Scaly Wolf, необходимо использовать решения класса endpoint detection and response, например BI.ZONE EDR. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляет платформа BI.ZONE Threat Intelligence.