Специалисты отдела киберразведки компании F6 заметили, что группировка хакеров Core Werewolf снова начала активно действовать. Они как обычно направляют свои атаки на военные структуры России и Беларуси, а также на организации, связанные с обороной и критической инфраструктурой.
Группировка Core Werewolf известна с 2021 года и использует инструменты UltraVNC и MeshCentral для удаленного доступа к зараженным устройствам. Недавняя атака произошла 2 мая 2025 года, когда был загружен файл .eml с зашифрованным архивом. Этот файл запускал вредоносную цепочку, позволяя хакерам получить доступ к зараженным устройствам.
Кроме того, был обнаружен еще один подозрительный файл undoubtedly.exe, который также связан с группировкой Core Werewolf и использовался для атак на российские военные структуры. В обоих случаях использовались поддельные документы с военной тематикой для запуска вредоносной программы.
Подробности атак можно найти в отчете на платформе F6 Malware Detonation Platform, а индикаторы компрометации доступны в блоге компании на Хабре.
© KiberSec.ru – 06.05.2025, обновлено 06.05.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
