Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, выявила недавние атаки проукраинской кибершпионской группы Sticky Werewolf на научно-производственные предприятия России. Сообщается, что после новогодних праздников злоумышленники начали рассылать фейковые письма, использующие имя Минпромторга России в качестве прикрытия.

Атака, зафиксированная 13 января, была успешно перехвачена и заблокирована решением по выявлению сложных киберугроз F.A.C.C.T. Managed XDR. Вредоносные сообщения содержали вредоносные вложения и фальшивое поручение об организации заказов в оборонно-промышленном комплексе с участием осужденных, что могло вызвать серьезные последствия для безопасности данных.

Sticky Werewolf известна своими атаками на государственные учреждения, научно-исследовательские институты и предприятия из сферы ВПК не только в России, но и за пределами, включая Беларусь и Польшу. Группа часто использует фишинговые рассылки как первоначальный вектор для своих кибератак, внедряя такие инструменты, как трояны удаленного доступа и стилеры, которые позволяют получать скрытый доступ к скомпрометированным системам.

Эксперты F.A.C.C.T. обнаружили, что поддельные письма содержали документы, свидетельствующие о несоответствии в информации, включая неверные данные о должности Дениса Мантурова. Вложение в одно из писем представляло собой защищенный архив, содержащий вредоносный исполняемый файл, который, при запуске, активировал троян Ozone RAT.

Дополнительное расследование выявило аналогичные фишинговые письма, отправленные ранее в декабре 2023 года, что указывает на продолжение активности данной кибершпионской группы. Sticky Werewolf уже атаковали российскую фармацевтику, прикрываясь другими государственными органами, и продолжают использовать фейки для внедрения в защищенные системы.