{
	"id": "722fc0b1-4a97-40b2-9923-cda102d1886b",
	"created_at": "2026-04-10T03:20:23.705034Z",
	"updated_at": "2026-04-10T03:22:17.00545Z",
	"deleted_at": null,
	"sha1_hash": "877df5c8ef22178ed8014bf0624f1dc4dc3dba7a",
	"title": "Исследование атак на госорганы с применением коммерчески доступного ПО",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 524520,
	"plain_text": "Исследование атак на госорганы с применением коммерчески\r\nдоступного ПО\r\nArchived: 2026-04-10 02:47:35 UTC\r\nСпециалисты BI.ZONE по киберразведке обнаружили новую группировку, которая применяет свободно\r\nраспространяемое ПО, чтобы вмешиваться в работу государственных организаций. Характерная\r\nособенность этого преступного сообщества, получившего название Sticky Werewolf, — в использовании\r\nдостаточно популярных вредоносных программ, которые несложно обнаружить и заблокировать.\r\nЭто не мешает Sticky Werewolf добиваться успеха: группировка активна как минимум с апреля 2023 года\r\nи к настоящему моменту провела не менее 30 атак.\r\nКлючевые выводы\r\nГосударственные организации в России и Беларуси остаются популярной целью атакующих,\r\nзанимающихся шпионажем.\r\nПри атаках на многие государственные организации злоумышленникам удается эффективно\r\nиспользовать даже популярное ВПО класса RAT для получения первоначального доступа.\r\nЧтобы повысить эффективность популярного ВПО, атакующие применяют протекторы, например\r\nThemida, — это затрудняет анализ их активности в виртуальной среде.\r\nОписание кампании\r\nДля получения первоначального доступа к целевым системам Sticky Werewolf использовала фишинговые\r\nэлектронные письма со ссылками на вредоносные файлы. Для генерации ссылок применялся сервис\r\nIP Logger. Сервис позволял злоумышленникам не только создавать фишинговые ссылки, но и собирать\r\nинформацию о жертвах, которые по ним перешли. Так, например, они получали информацию о времени\r\nперехода, IP‑адресе, стране, городе, версии браузера и операционной системы. Эта информация позволяла\r\nатакующим сразу провести базовое профилирование потенциально скомпрометированных систем\r\nи отобрать наиболее значимые, не обращая внимание на те, которые относятся, например, к песочницам,\r\nисследовательской деятельности и странам, не входящим в круг интересов группировки.\r\nКроме того, сервис позволял злоумышленникам использовать собственные доменные имена. Таким\r\nобразом, фишинговая ссылка выглядела для жертвы максимально легитимно, например:\r\nhXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf .\r\nПо фишинговым ссылкам располагались вредоносные файлы с расширением .exe или  .scr , которые\r\nбыли замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала\r\nдемонстрация легитимного документа соответствующего формата и инсталляция Ozone RAT или Darktrack\r\nRAT. В качестве документа, направленного на отвлечение внимания жертвы, использовалось, например,\r\nэкстренное предупреждение МЧС России (рис. 1).\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 1 of 10\n\nРис. 1. Пример документа, использованного атакующими\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 2 of 10\n\nЕще один пример — исковое заявление (рис. 2).\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 3 of 10\n\nРис. 2. Пример документа, использованного атакующими\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 4 of 10\n\nЧто касается атак на белорусские организации, в качестве документа использовалось, например,\r\nпредписание об устранении нарушений законодательства (рис. 3).\r\nРис. 3. Пример документа, использованного атакующими\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 5 of 10\n\nВместе с документом в папку %TEMP% под именем легитимного приложения, например utorrent.exe\r\n(µTorrent), копировался загрузчик Ozone RAT. Для закрепления в скомпрометированной системе в папке\r\nавтозагрузки создавался ярлык, который указывает на образец ВПО, например:\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\uTorrent.lnk . При этом для обфускации Ozone\r\nRAT Sticky Werewolf использовала протектор Themida, что затрудняло обнаружение и анализ.\r\nOzone RAT построен на модульной архитектуре и включает два ключевых компонента: загрузчик\r\nи основной модуль, отвечающий за функции трояна удаленного доступа. В данном случае группировка\r\nSticky Werewolf использовала загрузчик Ozone RAT.\r\nНа момент анализа основной модуль был недоступен. Однако известно, что загрузчик скачивает\r\nс командного сервера (C2) зашифрованный основной модуль в виде DLL, который сохраняется на диске\r\nпод именем data.dbf в том же каталоге, где находится загрузчик. Далее основной модуль\r\nрасшифровывается и загружается непосредственно в оперативную память с использованием рефлексивной\r\nзагрузки DLL через функцию BTMemoryModule из API Delphi. После этого управление передается\r\nосновному модулю, который выполняет вредоносные действия.\r\nОсновной модуль Ozone RAT предоставляет атакующим широкий набор функциональных возможностей\r\nдля управления скомпрометированной системой и выполнения различных вредоносных действий,\r\nвключая:\r\nУправление файлами, процессами и службами.\r\nИзменение записей в реестре Windows.\r\nЗапись нажатий клавиш с помощью модуля кейлоггера.\r\nЗахват видео с экрана, доступ к веб-камере и запись звука с микрофона в режиме реального\r\nвремени.\r\nУдаленное выполнение команд через командную строку Windows.\r\nЗагрузку и запуск файлов с командного сервера (C2).\r\nУдаление себя из системы для сокрытия следов.\r\nИспользование модуля HVNC для скрытого управления компьютером жертвы.\r\nВосстановление паролей из веб-браузеров и почтовых клиентов, таких как Outlook и Thunderbird.\r\nРаботу в режиме обратного прокси для обхода сетевых ограничений.\r\nВыводы\r\nСвободно распространяемое и коммерческое ВПО пользуется большим спросом как среди\r\nкиберпреступников, так и проправительственных группировок, так как позволяет получить широкие\r\nфункциональные возможности за несколько десятков долларов. Более того, зачастую такие программы\r\nактивно используются злоумышленниками даже после ареста их разработчиков.\r\nКак обнаружить следы Sticky Werewolf\r\n1. Обращайте внимание на запуск подозрительных исполняемых файлов из временных папок.\r\n2. Отслеживайте появление исполняемых файлов, замаскированных под легитимные приложения,\r\nв нестандартных расположениях.\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 6 of 10\n\n3. Осуществляйте мониторинг доступа подозрительных процессов к файлам, содержащим\r\nаутентификационные данные, например, относящиеся к веб‑браузерам или электронной почте.\r\nMITRE ATT\u0026CK\r\nТактика Техника Процедура\r\nInitial Access Phishing: Spearphishing Link\r\nSticky Werewolf использует вредоносные ссылки\r\nв электронных письмах для получения\r\nпервоначального доступа\r\nExecution User Execution: Malicious File\r\nЖертве необходимо открыть загруженный\r\nвредоносный файл для инициализации цепочки\r\nкомпрометации системы\r\nCommand and Scripting\r\nInterpreter: Windows Command\r\nShell\r\nSticky Werewolf использует командную строку\r\nWindows для выполнения команд и сценариев\r\nNative API\r\nSticky Werewolf использует Windows API в своих\r\nвредоносных программах для взаимодействия со\r\nскомпрометированной системой\r\nPersistence\r\nBoot or Logon Autostart\r\nExecution: Registry Run Keys /\r\nStartup Folder\r\nSticky Werewolf использует каталог автозагрузки\r\nдля создания ярлыка с целью закрепления в\r\nскомпрометированной системе\r\nDefense\r\nEvasion\r\nObfuscated Files or Information:\r\nSoftware Packing\r\nSticky Werewolf использует протектор Themida для\r\nобеспечения противодействия анализу\r\nMasquerading: Double File\r\nExtension\r\nSticky Werewolf использует двойное расширение\r\nдля маскировки вредоносных файлов\r\nProcess Injection: Process\r\nHollowing\r\nSticky Werewolf может внедрять вредоносный код в\r\nлегитимные процессы\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 7 of 10\n\nТактика Техника Процедура\r\nIndicator Removal: File Deletion\r\nSticky Werewolf может удалять файлы вредоносных\r\nпрограмм после их выполнения\r\nVirtualization/Sandbox Evasion:\r\nSystem Checks\r\nSticky Werewolf использует протектор Themida с\r\nфункцией проверки запуска вредоносной\r\nпрограммы в виртуальной среде\r\nDebugger Evasion\r\nSticky Werewolf использует протектор Themida для\r\nпроверки наличия инструментов отладки\r\nCredential\r\nAccess\r\nInput Capture: Keylogging\r\nSticky Werewolf может использовать модуль\r\nкейлоггера вредоносной программы Ozone RAT\r\nдля осуществления записи нажатий клавиш\r\nUnsecured Credentials:\r\nCredentials In Files\r\nSticky Werewolf может использовать Ozone RAT\r\nдля получения аутентификационных данных\r\nпочтовых приложений Outlook и Thunderbird\r\nCredentials from Password\r\nStores: Credentials from Web\r\nBrowsers\r\nSticky Werewolf может использовать Ozone RAT\r\nдля получения аутентификационных данных,\r\nсохраненных в веб-браузерах\r\nDiscovery File and Directory Discovery\r\nSticky Werewolf использует Ozone RAT для\r\nполучения информации о файлах и папках\r\nProcess Discovery\r\nSticky Werewolf использует Ozone RAT для\r\nполучения информации об активных процессах\r\nQuery Registry\r\nSticky Werewolf использует Ozone RAT для\r\nудаленной работы с реестром ОС Windows\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 8 of 10\n\nТактика Техника Процедура\r\nSystem Information Discovery\r\nSticky Werewolf использует Ozone RAT для\r\nполучения информации о скомпрометированной\r\nсистеме\r\nLateral\r\nMovement\r\nRemote Services: VNC\r\nSticky Werewolf может использовать модуль HVNC\r\nвредоносной программы Ozone RAT для скрытого\r\nуправления скомпрометированными хостами\r\nCollection Data from Local System\r\nSticky Werewolf собирает данные\r\nсо скомпрометированной системы\r\nScreen Capture\r\nSticky Werewolf может осуществлять запись с\r\nэкрана с помощью Ozone RAT\r\nVideo Capture\r\nSticky Werewolf может осуществлять запись с веб-камеры с помощью Ozone RAT\r\nAudio Capture\r\nSticky Werewolf может осуществлять запись с\r\nмикрофона с помощью Ozone RAT\r\nCommand\r\nand Control\r\nNon-Application Layer Protocol\r\nSticky Werewolf использует протокол TCP для\r\nвзаимодействия с C2-сервером\r\nIngress Tool Transfer\r\nSticky Werewolf использует модуль загрузки Ozone\r\nRAT для получения основного модуля вредоносной\r\nпрограммы\r\nNon-Standard Port\r\nSticky Werewolf использует нестандартный порт\r\nдля коммуникаций с C2-сервером\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 9 of 10\n\nТактика Техника Процедура\r\nExfiltration Exfiltration Over C2 Channel\r\nSticky Werewolf использует C2-сервер для\r\nвыгрузки собранных данных\r\nИндикаторы компрометации\r\n185.12.14[.]32:666 ;\r\nyandeksdisk[.]org ;\r\ndiskonline[.]net ;\r\n078859c7dee046b193786027d5267be7724758810bdbc2ac5dd6da0ebb4e26bb ;\r\n9162ccb4816d889787a7e25ba680684afca1d7f3679c856ceedaf6bf8991e486 .\r\nБольше индикаторов компрометации доступно на платформе BI.ZONE Threat Intelligence.\r\nКак защитить компанию от таких угроз\r\nФишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять\r\nспециализированные сервисы, помогающие фильтровать нежелательные письма. Одно из таких\r\nрешений — BI.ZONE Mail Security. Оно избавляет компании от проблемы нелегитимных писем,\r\nинспектируя каждое электронное сообщение. При этом используется более 600 механизмов фильтрации,\r\nреализованных на основе машинного обучения, статистического, сигнатурного и эвристического анализа.\r\nТакая проверка не задерживает доставку безопасных писем.\r\nДля того чтобы лучше знать актуальный ландшафт киберугроз и понимать, как именно атакуют\r\nинфраструктуры, похожие на вашу, мы рекомендуем использовать данные с платформы BI.ZONE Threat\r\nIntelligence. Решение помогает проактивно защищать бизнес благодаря аналитическим данным\r\nс исчерпывающей информацией об атакующих и ежедневно обновляемым индикаторам компрометации\r\nдля повышения эффективности работы ваших средств защиты информации.\r\nSource: https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nhttps://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/"
	],
	"report_names": [
		"shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi"
	],
	"threat_actors": [],
	"ts_created_at": 1775791223,
	"ts_updated_at": 1775791337,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/877df5c8ef22178ed8014bf0624f1dc4dc3dba7a.pdf",
		"text": "https://archive.orkl.eu/877df5c8ef22178ed8014bf0624f1dc4dc3dba7a.txt",
		"img": "https://archive.orkl.eu/877df5c8ef22178ed8014bf0624f1dc4dc3dba7a.jpg"
	}
}