Хакеры атакуют Россию под видом киргизского правительства — сотни компаний слиты в даркнет за год

BI.ZONE Киргизия Россия YoroTrooper Cavalry Werewolf кибератаки
Хакеры атакуют Россию под видом киргизского правительства — сотни компаний слиты в даркнет за год
BI.ZONE Киргизия Россия YoroTrooper Cavalry Werewolf кибератаки

Пока одни ломали правительственную почту, другие готовили удар по госсектору через Telegram-ботов.

image

Команда BI.ZONE выявила новую волну кибератак на российский госсектор, стоящую за которой группировку условно обозначили как Cavalry Werewolf. По данным компании, в действиях этой группы прослеживаются явные пересечения с активностью YoroTrooper, а также с кластерами, отслеживаемыми под названиями SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk и Tomiris.

Основной вектор заражения — таргетированные фишинговые письма, оформленные как официальные сообщения от представителей правительства Киргизии. Главные цели — российские государственные структуры, а также организации в энергетике, добывающей промышленности и производственном секторе. BI.ZONE подчёркивает, что в некоторых случаях злоумышленники использовали не поддельные, а реальные скомпрометированные адреса электронной почты, включая аккаунт одного из регуляторов Киргизской Республики.

Во вложениях к таким письмам рассылались архивы RAR, содержащие малварь FoalShell или StallionRAT. Первая из них — облегчённая обратная оболочка, реализованная на Go, C++ и C#. Через неё атакующие могут запускать произвольные команды в среде cmd.exe. StallionRAT представляет собой более функционального «троянца» с поддержкой Go, PowerShell и Python. Он обеспечивает выполнение произвольных команд, загрузку дополнительных компонентов и передачу собранной информации через Telegram-бота.

Через этого бота операторы получают сведения о заражённых устройствах, управляют командой /list, запускают удалённое выполнение через /go [DeviceID] [command] и могут загружать файлы на систему жертвы через /upload. Кроме того, на скомпрометированных машинах были замечены вспомогательные инструменты типа ReverseSocks5 и ReverseSocks5Agent, а также команды, собирающие данные об окружении устройства.

Судя по артефактам, часть вредоносных файлов имела имена не только на английском, но и на арабском языке, что может свидетельствовать о более широком охвате операций Cavalry Werewolf за пределами России. BI.ZONE подчёркивает: «Группа активно тестирует новые инструменты и расширяет арсенал. Поэтому критически важно иметь быстрый доступ к информации о применяемых тактиках, иначе защитные меры быстро теряют актуальность».

Особое внимание исследователи уделили связям группы с Tomiris — ещё одной APT-структурой, которую Microsoft в прошлом году напрямую связала с Казахстаном, отнеся её к кластеру Storm‑0473. Таким образом, и у Cavalry Werewolf прослеживается потенциальная аффилированность с Республикой Казахстан, что усиливает гипотезу о региональном происхождении ряда операций.

BI.ZONE отмечает, что за последний год в Telegram-каналах и даркнете были опубликованы данные минимум 500 российских компаний, чьи системы оказались скомпрометированы. Среди них — учреждения торговли, финансы, образование и развлекательная индустрия. В 86% случаев атакующие получали доступ к публичным веб-приложениям, где затем устанавливали gs-netcat для постоянного доступа, а также размещали дополнительные веб-шеллы. Для извлечения данных активно применялись легитимные инструменты вроде Adminer, phpMiniAdmin и mysqldump.