Аналитики Центра кибербезопасности компании F6 обнаружили новую волну вредоносных рассылок от группы Werewolves. Злоумышленники направляют фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.
Werewolves - группа вымогателей, действует с 2023 года. Предпочитает использовать такие инструменты, как Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit. Атаковала российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации. Использует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить.
Предыдущая волна вредоносных рассылок от Werewolves была зафиксирована в марте 2025 года. До этого, весной 24-го, вымогатели проводили массовые рассылки на тему весеннего призыва, а также создали домен kzst45[.]ru, маскирующийся под сайт российского производителя спецтехники. С этого сайта «оборотни» позже рассылали письма с темами «Досудебная претензия» и «Рекламация», в которых содержались вредоносные вложения, загружавшие Cobalt Strike's Beacon. Весной 2025 года компания F6 заблокировала вредоносную рассылку Werewolves, направленную на компании из различных сфер, включая банки, промышленные предприятия, ритейл и логистические компании. А в июне 2025-го «оборотни» снова провели рассылку, на этот раз в адрес промышленных, финансовых, энергетических организаций и ритейлеров.
Для доставки вредоносного программного обеспечения (ВПО) злоумышленники рассылают письма правовой и финансовой тематики. Группа продолжает использовать тот же инструментарий, что и в предыдущих атаках. В качестве тем в июньских рассылках использовались: «Досудебная претензия», «Досудебное», «Уведомление(досудебное)». Во вложении рассылались следующие типы файлов:
архив, содержащий LNK-файл с двойным расширением;
документ Microsoft Office, в котором эксплуатируется уязвимость CVE-2017-11882.
Пример письма из июньской рассылки с вложением в виде архива представлен на рисунке 2.
В распространяемом архиве содержится файл с двойным расширением .pdf.lnk. Злоумышленники присваивают вредоносным файлам двойные расширения чтобы они выглядели как обычные документы (PDF, DOC и т. д.). При стандартных настройках Windows реальные расширения могут быть скрыты, т.е. пользователь видит только ".pdf". Это снижает бдительность, и жертва может попытаться открыть файл, при этом запустив вредоносный код.
Содержимое архива из вложения представлено на рисунке 3.
Как уже говорилось ранее, злоумышленники из Werewolves часто эксплуатируют уязвимость CVE-2017-11882. В июне помимо писем с вложенным архивом также рассылались письма с вредоносным файлом с расширением .doc. Запуск файла приводит к эксплуатации уязвимости CVE-2017-11882, которая позволяет злоумышленнику исполнить произвольный код с привилегиями пользователя, открывшего файл. Пример письма из этой рассылки представлен на рисунке ниже.
Злоумышленники продолжают использовать тот же домен для отправки писем, что и в предыдущих рассылках. По-прежнему применяется домен kzst45[.]ru, мимикрирующий под легитимный ресурс kzst45[.]com. Такой же подход к рассылке мы наблюдали при регистрации домена отправителя из свежих атак – mysterykamchatka[.]ru, оригинальный домен располагается в доменной зоне .com.
![Рисунок 5. Регистрационные данные домена mysterykamchatka[.]ru](https://habrastorage.org/r/w780/getpro/habr/upload_files/c96/5b6/ba0/c965b6ba0c8aa44f0965f84e2c15adcb.png "Рисунок 5. Регистрационные данные домена mysterykamchatka[.]ru")
Также злоумышленники продолжили использовать спуфинг в своих рассылках. Например, в одном из писем группа подменила адрес отправителя, чтобы направить письмо от имени главного бухгалтера российского аэропорта.
В качестве финальной нагрузки во всех июньских рассылках устанавливается Cobalt Strike's Beacon.
Анализ одного из вредоносных вложений на Malware Detonation Platform от компании F6.
Индикаторы компрометации
Файловые индикаторы:
рекламация.doc
претензия(исковое).doc
исковое заявление.doc
досудебное.doc
labaz.hta
zibaba.hta
ncki.hta
рекламация.rar
рекламация.pdf.lnk
SHA1:
348aef0892d45022f6ec2aca4c6d72d5ca765f02
b109bb026ee97974a947e8dd48c73bb14271383f
9894a41f36d5f65e45dd7ca1699e1c7584271386
e26e6e4eddf3f5ce94ad4bbcf96cd94786e6e70b
3e41f26dd976a41d9d58d4f114361967ae9e9f3d
56af11bc10a17c797a1e318979c5d1a61ffb2bc2
bdcf220097b519039cec8a66863665dcb9cb7e49
2809561aa81b0f4a206059f1e676762aa5faefb8
6a504f8f5a1daf0250277fe9c74917fcd8a0e4ea
3094f1073b03963bb27d43ab8ff329c32bcecaa4
be94946b6deb6699ed8805d736712842238a75bd
a7b335bcb194cb91cb20fb126f87eb9edfb3ec21
84790fb16c45fc682e40b40adca448fa6ef065f0
5f22121ecdaa8c274cda77cc62174d432a89bdf8
52707a40e635dbb2c8503c6791ed5a94f4751440
68460446be242f1552d2bc71ac15a49a2fef0446
d4f843efe9dd9233004709973665be2070b3c240
30806cd81583c1c92817ba938892fabf9a6cc40f
fb4b0f976556de45a933d078a45bd455f7109658
Почтовые адреса отправителей:
t.g.remezova@mysterykamchatka[.]ru
www-data@kzst45[.]ru
demidova@metrix-dv[.]ru
Темы писем:
Досудебное
Уведомление(досудебное)
Досудебная претензия
Претензия
Домены:
mysterykamchatka[.]ru
kzst45[.]ru
metrix-dv[.]ru
maper[.]info
bygangs[.]albertn[.]ru
dosingpumps[.]ru
cba[.]abc92[.]ru
lieri[.]ru
xn--e1ajbcejcefx[.]xn--p1ai
praestol[.]su
gemme-cotti[.]ru
emec[.]su
mytho[.]su
IP:
45.146.169[.]20:61936
194.190.149[.]207:64668
91.220.81[.]212:64760