Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một tác nhân đe dọa được gọi là Người sói dính có liên quan đến các cuộc tấn công mạng nhắm vào các thực thể ở Nga và Belarus.
Các cuộc tấn công lừa đảo nhắm vào một công ty dược phẩm, một viện nghiên cứu của Nga liên quan đến vi sinh và phát triển vắc-xin, và lĩnh vực hàng không, mở rộng ra ngoài trọng tâm ban đầu của các tổ chức chính phủ, Morphisec cho biết trong một báo cáo tuần trước.
Sticky Werewolf, một trong nhiều tác nhân đe dọa nhắm vào Nga và Belarus như Cloud Werewolf (hay còn gọi là Inception và Cloud Atlas), Quartz Wolf, Red Wolf (hay còn gọi là RedCurl) và Scaly Wolf, lần đầu tiên được BI ghi nhận. ZONE vào tháng 10/2023. Nhóm này được cho là đã hoạt động ít nhất từ tháng 4/2023.
Các cuộc tấn công trước đây được ghi nhận bởi công ty an ninh mạng đã tận dụng các email lừa đảo có liên kết đến các tải trọng độc hại mà đỉnh điểm là việc triển khai trojan truy cập từ xa NetWire (RAT), đã bị gỡ bỏ cơ sở hạ tầng vào đầu năm ngoái sau một hoạt động thực thi pháp luật.
Chuỗi tấn công mới được quan sát bởi Morphisec liên quan đến việc sử dụng tệp đính kèm lưu trữ RAR, khi được trích xuất, chứa hai tệp LNK và tài liệu PDF mồi nhử, với tài liệu sau tuyên bố là lời mời tham dự hội nghị video và thúc giục người nhận nhấp vào tệp LNK để lấy chương trình họp và danh sách phân phối email.
Mở một trong hai tệp LNK sẽ kích hoạt việc thực thi tệp nhị phân được lưu trữ trên máy chủ WebDAV, dẫn đến việc khởi chạy tập lệnh hàng loạt Windows bị xáo trộn. Tập lệnh, lần lượt, được thiết kế để chạy một tập lệnh AutoIt mà cuối cùng tiêm tải trọng cuối cùng, đồng thời bỏ qua phần mềm bảo mật và các nỗ lực phân tích.
Mục tiêu cuối cùng của chiến dịch là cung cấp RAT hàng hóa và phần mềm độc hại đánh cắp thông tin như Rhadamanthys và Ozone RAT.
Sự phát triển đến như BI. ZONE đã tiết lộ một cụm hoạt động có tên mã là Sapphire Werewolf được cho là đứng sau hơn 300 cuộc tấn công vào các lĩnh vực giáo dục, sản xuất, CNTT, quốc phòng và kỹ thuật hàng không vũ trụ của Nga bằng cách sử dụng Amethyst, một nhánh của SapphireStealer mã nguồn mở phổ biến.
Công ty Nga, vào tháng 3/2024, cũng phát hiện ra các cụm được gọi là Fluffy Wolf và Mysterious Werewolf đã sử dụng mồi lừa đảo để phân phối Remote Utilities, công cụ khai thác XMRig, WarZone RAT và một backdoor đặt riêng có tên là RingSpy.