Вторая попытка: Scaly Wolf атакует машиностроительный сектор России
Группировка Scaly Wolf продолжает атаковать российскую компанию из машиностроительного сектора. Первая атака произошла в октябре 2023 года. Компания обратилась к «Доктор Веб» для расследования инцидента. Оказалось, что атака носила целевой характер и проводилась с помощью рассылки фишинговых писем по электронной почте. Цель атаки – сбор чувствительный данных. Подробнее в отчете.
В июле 2025 года компания заметила, что один из компьютеров регулярно детектирует угрозу. Оказалось, что реакция антивируса оказалась штатной, а компания подверглась атаке.
Первый инцидент случился 12 мая. На одном из компьютеров отсутствовала антивирусная защита и через него вредонос распространился на другие машины.
Фишинговые письма носили «финансовый» характер и содержали PDF-приманки и архивы, в которых были замаскированы исполняемые файлы.
Заражение начиналось с вредоноса Trojan.Updatar.1, который подтягивал другие модули бэкдора. Чтобы усложнить анализ кода, злоумышленники использовали обфускацию на основе списка популярных паролей RockYou.txt.
Обфускация — это процесс, при котором исходный код программы преобразуется в вид, сохраняющий её функциональность, но затрудняющий анализ и понимание алгоритмов.
Затем злоумышленники начали применять утилиты Meterpreter из Metasploit, средства для кражи учетных записей пользователей и перенаправления сетевого трафика, программы удаленного управления компьютером.
Dr.Web смог предотвратить загрузку опасных элементов на отдельных ПК, однако атакующие активно искали обходные пути, включая использование инструмента RemCom для выключения защитных функций Windows и выявления следов присутствия Dr.Web.
В телеграм канале "Метод хакера" мы поднимали тему антивируса. Главный вывод: антивирус — это основа безопасности, но не единственный рубеж обороны. Для полной защиты нужны дополнительные меры. Подробнее в посте.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!