گروه تهدید سایبری Rare Werewolf که پیش‌تر با نام Rare Wolf شناخته می‌شد، در سلسله حملات سایبری علیه روسیه و کشورهای مشترک‌المنافع هدف قرار گرفته است. شرکت امنیتی کسپرسکی اعلام کرد که ویژگی بارز این تهدید استفاده مهاجمان از نرم‌افزارهای قانونی شخص ثالث به جای توسعه فایل‌های مخرب اختصاصی است. عملکرد مخرب این کمپین از طریق فایل‌های دستوری و اسکریپت‌های PowerShell پیاده‌سازی می‌شود.

هدف این حملات برقراری دسترسی از راه دور به سیستم‌های آسیب‌دیده، سرقت اطلاعات کاربری و استقرار ماینر ارز دیجیتال XMRig است. این فعالیت‌ها صدها کاربر روسی از جمله شرکت‌های صنعتی و مدارس مهندسی را تحت تأثیر قرار داده و تعداد کمتری از آلودگی‌ها در بلاروس و قزاقستان نیز ثبت شده است.

Rare Werewolf که با نام‌های Librarian Ghouls و Rezet نیز شناخته می‌شود، عنوان یک گروه تهدید پایدار پیشرفته (APT) است که سابقه حمله به سازمان‌ها در روسیه و اوکراین را دارد. گمان می‌رود این گروه حداقل از سال ۲۰۱۹ فعال بوده است.

بر اساس گزارش BI.ZONE، این مهاجم با استفاده از ایمیل‌های فیشینگ دسترسی اولیه را به دست می‌آورد و از این موقعیت برای سرقت اسناد، داده‌های پیام‌رسان تلگرام و استقرار ابزارهایی مانند Mipko Employee Monitor، WebBrowserPassView و Defender Control استفاده می‌کند. این ابزارها برای تعامل با سیستم آلوده، جمع‌آوری رمزهای عبور و غیرفعال کردن نرم‌افزار ضدویروس به کار می‌روند.

جدیدترین مجموعه حملات مستندسازی شده توسط کسپرسکی نشان می‌دهد که ایمیل‌های فیشینگ به عنوان وسیله انتقال بدافزار استفاده می‌شوند. این ایمیل‌ها حاوی آرشیوهای محافظت شده با رمز عبور هستند که فایل‌های اجرایی را به عنوان نقطه شروع برای فعال‌سازی آلودگی در خود جای داده‌اند.

درون آرشیو یک نصب‌کننده وجود دارد که برای استقرار ابزار قانونی 4t Tray Minimizer و سایر محموله‌ها از جمله یک سند PDF فریبنده که دستور پرداخت را تقلید می‌کند، استفاده می‌شود. کسپرسکی توضیح داد که این نرم‌افزار می‌تواند برنامه‌های در حال اجرا را به سینی سیستم کوچک کند و به مهاجمان اجازه می‌دهد حضور خود را در سیستم آسیب‌دیده پنهان کنند.

این محموله‌های میانی سپس برای دریافت فایل‌های اضافی از سرور راه دور استفاده می‌شوند که شامل Defender Control و Blat می‌باشد. Blat یک ابزار قانونی برای ارسال داده‌های سرقت شده به آدرس ایمیل تحت کنترل مهاجم از طریق SMTP است.

این حملات همچنین با استفاده از نرم‌افزار دسکتاپ از راه دور AnyDesk و یک اسکریپت دسته‌ای ویندوز برای تسهیل سرقت داده‌ها و استقرار ماینر مشخص می‌شوند. جنبه برجسته اسکریپت دسته‌ای این است که یک اسکریپت PowerShell را راه‌اندازی می‌کند که قابلیت‌هایی برای بیدار کردن خودکار سیستم قربانی در ساعت ۱ بامداد به وقت محلی را دارد و به مهاجمان اجازه دسترسی از راه دور برای یک پنجره چهار ساعته از طریق AnyDesk را می‌دهد. سپس دستگاه در ساعت ۵ صبح توسط یک وظیفه زمان‌بندی شده خاموش می‌شود.

کسپرسکی اظهار داشت که استفاده از نرم‌افزارهای قانونی شخص ثالث برای اهداف مخرب یک تکنیک رایج است که تشخیص و انتساب فعالیت APT را دشوارتر می‌کند. تمام عملکردهای مخرب همچنان به نصب‌کننده، دستورات و اسکریپت‌های PowerShell متکی است.

این افشاگری در حالی صورت می‌گیرد که Positive Technologies فاش کرد یک گروه جرایم سایبری با انگیزه مالی به نام DarkGaboon با استفاده از باج‌افزار LockBit 3.0 نهادهای روسی را هدف قرار داده است. DarkGaboon که اولین بار در ژانویه ۲۰۲۵ کشف شد، گفته می‌شود از می ۲۰۲۳ فعال بوده است.

این شرکت اعلام کرد که حملات از ایمیل‌های فیشینگ حاوی فایل‌های آرشیو با اسناد طعمه RTF و فایل‌های محافظ صفحه ویندوز برای رها کردن رمزگذار LockBit و تروجان‌هایی مانند XWorm و Revenge RAT استفاده می‌کنند.

استفاده از ابزارهای در دسترس به عنوان تلاشی از سوی مهاجمان برای ادغام با فعالیت‌های گسترده‌تر جرایم سایبری و به چالش کشیدن تلاش‌های انتساب دیده می‌شود.

ویکتور کازاکوف، محقق Positive Technologies گفت: DarkGaboon مشتری سرویس LockBit RaaS نیست و به طور مستقل عمل می‌کند. این موضوع با استفاده از نسخه عمومی در دسترس باج‌افزار LockBit، عدم وجود آثار استخراج داده در شرکت‌های مورد حمله و تهدیدهای سنتی برای انتشار اطلاعات سرقت شده در پورتال نشت داده مشخص می‌شود.