Волки на охоте. Хакеры из Scaly Wolf атаковали российскую промышленность
Согласно сообщению ООО "Доктор Веб" (Dr.Web), хакеры из группировки Scaly Wolf атаковали российскую компанию машиностроительного комплекса. Авторы сообщения предположили, что злоумышленники заинтересованы в секретах компании, ведь это уже вторая попытка получить доступ к ее системе, первая была двумя годами ранее - в 2023 г. Судя по нескольким векторам атаки, злоумышленники очень хотят проникнуть в ИТ-инфраструктуру компании.
"В конце июня 2025 г. в компанию "Доктор Веб" обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем. Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке. Атака началась с компьютера, на котором не был установлен антивирус Dr.Web. Отсутствие защиты на нем привело к компрометации сети и заражению еще нескольких устройств. Наши специалисты проанализировали затронутые рабочие станции и восстановили цепочку событий", - гласит сообщение Dr.Web.
Согласно расследованию Dr.Web, хакеры заразили первый компьютер в сети через фишинг. Компания-жертва получала электронные письма, якобы, финансового характера, содержащие запароленный ZIP-архив и фишинговый PDF-файл, в нем говорилось, что финансовый документ находится в архиве. Но вместо него там содержался исполняемый вредоносный файл с "двойным" расширением (Акт Сверки.pdf.exe, операционная система Windows скрывает расширения для удобства пользователей, они не видят настоящее и воспринимают файл как безобидный).
"Первый образец такого вредоносного письма поступил в антивирусную лабораторию "Доктор Веб" 6 мая 2025 г., после чего в вирусную базу была добавлена запись для детектирования трояна Trojan.Updatar.1. Эта вредоносная программа является начальной ступенью заражения модульным бэкдором Updatar и предназначена для загрузки в целевую систему других компонентов в цепочке. Бэкдор используется для получения конфиденциальных данных с заражаемых компьютеров. Стоит отметить, что Trojan.Updatar.1 не является новым вредоносным ПО. Первый его образец попал в поле зрения наших специалистов еще год назад, однако нам не удавалось получить загружаемые им ступени, поскольку те скачиваются с C2-сервера не автоматически, а непосредственно по команде операторов сервера. Таким образом, расследование активной атаки с применением этого загрузчика позволило успешно отследить недостающие части бэкдора", - говорится в сообщении Dr.Web.
Артефакты, найденные в различных образцах вредоносного программного обеспечения, позволили идентифицировать хакеров как группировку Scaly Wolf. Ранее она попадала в поле зрения специалистов Dr.Web во время атаки на ту же компанию в 2023 г.
Представитель пресс-службы Dr.Web не ответил на вопросы корреспондента ComNews.
https://www.comnews.ru/content/240386/2025-07-28/2025-w31/1008/rossiysk…
Однако они не единственные, кто обратил внимание на злоумышленников. Руководитель BI.ZONE Threat Intelligence team ООО "БИЗон" Олег Скулкин рассказал, что Scaly Wolf попал в их поле зрение летом 2023 г. По его словам, злоумышленники финансово мотивированы и известны неоднократными атаками на организации России и Беларуси. Их приоритетные цели - компании из производственного сектора, государственные организации, инфраструктурные и транспортные объекты. Он отметил, что в 2024 г. хакеры, помимо стилера White Snake, начали применять собственные разработки: загрузчик Scaly Loader, бэкдоры Scaling и Dispersion.
"Scaly Wolf рассылает фишинговые письма, маскируя их под коммуникацию от лица различных организаций, в том числе государственных ведомств. К письмам злоумышленники прикрепляют вложения, например защищенные паролем архивы. Кроме того, их письма содержат вредоносные исполняемые файлы. Группировка также разработала несколько инструментов. Scaly Loader - это загрузчик, который позволяет доставлять в скомпрометированную систему дополнительные вредоносные файлы. Scaling представляет собой бэкдор, с помощью которого атакующие могут выполнять команды в скомпрометированной системе. Dispersion - это бэкдор, написанный на JavaScript. Он позволяет выполнять произвольные команды с помощью командной строки Windows", - рассказал Олег Скулкин.
По его словам, хакеры хорошо подготовлены и высококвалифицированы, однако они не всегда добиваются целей. Так, попытка злоумышленников получить доступ к корпоративным данным промышленных и логистических компаний и госорганов в марте 2024 г. с использованием стилера White Snake провалилась.
"По плану, получив "уведомление от регулятора", жертва должна была открыть приложенный ZIP‑архив. Однако вместо того, чтобы поместить стилер в архив, злоумышленники пошли более сложным и, как им казалось, надежным путем - воспользовались вредоносным загрузчиком. Поспешив, атакующие допустили ошибку: вместо ВПО в систему копировался легитимный файл. То есть даже в случае успешной атаки преступники не достигали главной цели - не получали доступ к чувствительным данным и скомпрометированной системе", - заключил он.
https://www.comnews.ru/content/240666/2025-08-13/2025-w33/1008/aktivnos…
