گروه تهدید پیشرفته پایدار (APT) موسوم به Rare Werewolf (پیشتر با نام Rare Wolf شناخته میشد) به مجموعهای از حملات سایبری علیه روسیه و کشورهای مشترکالمنافع (CIS) مرتبط شده است. شرکت Kaspersky گزارش داده است که ویژگی متمایز این تهدید، استفاده مهاجمان از نرمافزارهای معتبر شخص ثالث بهجای توسعه بدافزارهای اختصاصی است.
هدف این حملات، ایجاد دسترسی از راه دور به سیستمهای آلوده، سرقت اطلاعات احراز هویت و استقرار استخراجکننده ارز دیجیتال XMRig بوده است. این فعالیتها صدها کاربر روس در شرکتهای صنعتی و مؤسسات مهندسی را تحت تأثیر قرار داده و موارد کمتری نیز در بلاروس و قزاقستان گزارش شده است.
Kaspersky اعلام کرده است که عملکرد مخرب این کمپین از طریق فایلهای دستوری و اسکریپتهای PowerShell پیادهسازی شده است. Rare Werewolf، که با نامهای Librarian Ghouls و Rezet نیز شناخته میشود، از سال ۲۰۱۹ فعال بوده و سابقه حمله به سازمانهای روسیه و اوکراین را دارد.
روش حمله گروه سایبری Werewolf
طبق گزارش BI.ZONE، این گروه از ایمیلهای فیشینگ برای دسترسی اولیه استفاده میکند و از این نقطه نفوذ برای سرقت اسناد، دادههای پیامرسان Telegram و استقرار ابزارهایی مانند Mipko Employee Monitor، WebBrowserPassView و Defender Control بهره میبرد. این ابزارها برای تعامل با سیستم آلوده، جمعآوری رمزهای عبور و غیرفعالسازی نرمافزارهای ضدویروس بهکار میروند.
آخرین حملات مستندشده توسط Kaspersky نشاندهنده استفاده از ایمیلهای فیشینگ بهعنوان روش تحویل بدافزار است. این ایمیلها حاوی آرشیوهای محافظتشده با رمز عبور هستند که فایلهای اجرایی را در خود جای دادهاند و فرآیند آلودگی را آغاز میکنند.
درون این آرشیو، نصابی وجود دارد که ابزار معتبر 4t Tray Minimizer را همراه با پیلودهای مخرب دیگر، از جمله یک سند PDF جعلی شبیه به دستور پرداخت، نصب میکند. Kaspersky گزارش داده است که این نرمافزار قادر به مینیممسازی برنامههای در حال اجرا به سینی سیستم یا task bar است و به مهاجمان امکان میدهد حضور خود را در سیستم آلوده مخفی کنند.
پیلودهای میانی، از جمله Defender Control و Blat (ابزاری معتبر برای ارسال دادههای سرقتشده به آدرس ایمیل تحت کنترل مهاجمان از طریق SMTP) سپس برای دریافت فایلهای اضافی از سرور راهدور استفاده میشوند. حملات همچنین با استفاده از نرمافزار دسترسی از راه دور AnyDesk و اسکریپت batch ویندوز برای سرقت دادهها و استقرار استخراجکننده مشخص میشوند.
ویژگیهای اسکریپت مخرب
یکی از ویژگیهای برجسته اسکریپت batch، اجرای اسکریپت PowerShell است که قابلیت بیدار کردن خودکار سیستم قربانی در ساعت ۱ بامداد به وقت محلی و فراهمسازی دسترسی از راه دور برای مهاجمان از طریق AnyDesk به مدت چهار ساعت را دارد. این سیستم سپس در ساعت ۵ صبح از طریق یک تسک زمانبندیشده خاموش میشود.
Kaspersky تأکید کرده است که استفاده از نرمافزارهای معتبر شخص ثالث برای اهداف مخرب، تشخیص و تخصیص فعالیتهای APT را دشوارتر میکند. تمام عملکردهای مخرب همچنان به نصاب، فایلهای دستوری و اسکریپتهای PowerShell وابسته است.
حملات مرتبط(DarkGaboon)
این افشاگری همزمان با گزارش Positive Technologies درباره گروه جرایم سایبری با انگیزه مالی DarkGaboon است که شرکتهای معتبر روسی را با باجافزار LockBit 3.0 هدف قرار داده است. DarkGaboon، که از می ۲۰۲۳ فعال بوده و در ژانویه ۲۰۲۵ شناسایی شده، از ایمیلهای فیشینگ حاوی فایلهای آرشیو با اسناد فریبنده RTF و فایلهای محافظ صفحه ویندوز برای دانلود رمزگذار LockBit و تروجانهایی مانند XWorm و Revenge RAT استفاده میکند.
ویکتور کازاکوف، محقق Positive Technologies، اعلام کرده است که DarkGaboon مشتری سرویس LockBit RaaS نیست و بهصورت مستقل عمل میکند. این امر با استفاده از نسخه عمومی باجافزار LockBit، عدم وجود شواهد سرقت داده در شرکتهای مورد حمله و تهدیدات سنتی برای انتشار اطلاعات سرقتشده در سایت نشت داده تأیید میشود.
