Исследование атак на госорганы с применением коммерчески
доступного ПО
Archived: 2026-04-10 02:47:35 UTC
Специалисты BI.ZONE по киберразведке обнаружили новую группировку, которая применяет свободно
распространяемое ПО, чтобы вмешиваться в работу государственных организаций. Характерная
особенность этого преступного сообщества, получившего название Sticky Werewolf, — в использовании
достаточно популярных вредоносных программ, которые несложно обнаружить и заблокировать.
Это не мешает Sticky Werewolf добиваться успеха: группировка активна как минимум с апреля 2023 года
и к настоящему моменту провела не менее 30 атак.
Ключевые выводы
Государственные организации в России и Беларуси остаются популярной целью атакующих,
занимающихся шпионажем.
При атаках на многие государственные организации злоумышленникам удается эффективно
использовать даже популярное ВПО класса RAT для получения первоначального доступа.
Чтобы повысить эффективность популярного ВПО, атакующие применяют протекторы, например
Themida, — это затрудняет анализ их активности в виртуальной среде.
Описание кампании
Для получения первоначального доступа к целевым системам Sticky Werewolf использовала фишинговые
электронные письма со ссылками на вредоносные файлы. Для генерации ссылок применялся сервис
IP Logger. Сервис позволял злоумышленникам не только создавать фишинговые ссылки, но и собирать
информацию о жертвах, которые по ним перешли. Так, например, они получали информацию о времени
перехода, IP‑адресе, стране, городе, версии браузера и операционной системы. Эта информация позволяла
атакующим сразу провести базовое профилирование потенциально скомпрометированных систем
и отобрать наиболее значимые, не обращая внимание на те, которые относятся, например, к песочницам,
исследовательской деятельности и странам, не входящим в круг интересов группировки.
Кроме того, сервис позволял злоумышленникам использовать собственные доменные имена. Таким
образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например:
hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf .
По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или  .scr , которые
были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала
демонстрация легитимного документа соответствующего формата и инсталляция Ozone RAT или Darktrack
RAT. В качестве документа, направленного на отвлечение внимания жертвы, использовалось, например,
экстренное предупреждение МЧС России (рис. 1).
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 1 of 10

Рис. 1. Пример документа, использованного атакующими
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 2 of 10

Еще один пример — исковое заявление (рис. 2).
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 3 of 10

Рис. 2. Пример документа, использованного атакующими
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 4 of 10

Что касается атак на белорусские организации, в качестве документа использовалось, например,
предписание об устранении нарушений законодательства (рис. 3).
Рис. 3. Пример документа, использованного атакующими
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 5 of 10

Вместе с документом в папку %TEMP% под именем легитимного приложения, например utorrent.exe
(µTorrent), копировался загрузчик Ozone RAT. Для закрепления в скомпрометированной системе в папке
автозагрузки создавался ярлык, который указывает на образец ВПО, например:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\uTorrent.lnk . При этом для обфускации Ozone
RAT Sticky Werewolf использовала протектор Themida, что затрудняло обнаружение и анализ.
Ozone RAT построен на модульной архитектуре и включает два ключевых компонента: загрузчик
и основной модуль, отвечающий за функции трояна удаленного доступа. В данном случае группировка
Sticky Werewolf использовала загрузчик Ozone RAT.
На момент анализа основной модуль был недоступен. Однако известно, что загрузчик скачивает
с командного сервера (C2) зашифрованный основной модуль в виде DLL, который сохраняется на диске
под именем data.dbf в том же каталоге, где находится загрузчик. Далее основной модуль
расшифровывается и загружается непосредственно в оперативную память с использованием рефлексивной
загрузки DLL через функцию BTMemoryModule из API Delphi. После этого управление передается
основному модулю, который выполняет вредоносные действия.
Основной модуль Ozone RAT предоставляет атакующим широкий набор функциональных возможностей
для управления скомпрометированной системой и выполнения различных вредоносных действий,
включая:
Управление файлами, процессами и службами.
Изменение записей в реестре Windows.
Запись нажатий клавиш с помощью модуля кейлоггера.
Захват видео с экрана, доступ к веб-камере и запись звука с микрофона в режиме реального
времени.
Удаленное выполнение команд через командную строку Windows.
Загрузку и запуск файлов с командного сервера (C2).
Удаление себя из системы для сокрытия следов.
Использование модуля HVNC для скрытого управления компьютером жертвы.
Восстановление паролей из веб-браузеров и почтовых клиентов, таких как Outlook и Thunderbird.
Работу в режиме обратного прокси для обхода сетевых ограничений.
Выводы
Свободно распространяемое и коммерческое ВПО пользуется большим спросом как среди
киберпреступников, так и проправительственных группировок, так как позволяет получить широкие
функциональные возможности за несколько десятков долларов. Более того, зачастую такие программы
активно используются злоумышленниками даже после ареста их разработчиков.
Как обнаружить следы Sticky Werewolf
1. Обращайте внимание на запуск подозрительных исполняемых файлов из временных папок.
2. Отслеживайте появление исполняемых файлов, замаскированных под легитимные приложения,
в нестандартных расположениях.
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 6 of 10

3. Осуществляйте мониторинг доступа подозрительных процессов к файлам, содержащим
аутентификационные данные, например, относящиеся к веб‑браузерам или электронной почте.
MITRE ATT&CK
Тактика Техника Процедура
Initial Access Phishing: Spearphishing Link
Sticky Werewolf использует вредоносные ссылки
в электронных письмах для получения
первоначального доступа
Execution User Execution: Malicious File
Жертве необходимо открыть загруженный
вредоносный файл для инициализации цепочки
компрометации системы
Command and Scripting
Interpreter: Windows Command
Shell
Sticky Werewolf использует командную строку
Windows для выполнения команд и сценариев
Native API
Sticky Werewolf использует Windows API в своих
вредоносных программах для взаимодействия со
скомпрометированной системой
Persistence
Boot or Logon Autostart
Execution: Registry Run Keys /
Startup Folder
Sticky Werewolf использует каталог автозагрузки
для создания ярлыка с целью закрепления в
скомпрометированной системе
Defense
Evasion
Obfuscated Files or Information:
Software Packing
Sticky Werewolf использует протектор Themida для
обеспечения противодействия анализу
Masquerading: Double File
Extension
Sticky Werewolf использует двойное расширение
для маскировки вредоносных файлов
Process Injection: Process
Hollowing
Sticky Werewolf может внедрять вредоносный код в
легитимные процессы
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 7 of 10

Тактика Техника Процедура
Indicator Removal: File Deletion
Sticky Werewolf может удалять файлы вредоносных
программ после их выполнения
Virtualization/Sandbox Evasion:
System Checks
Sticky Werewolf использует протектор Themida с
функцией проверки запуска вредоносной
программы в виртуальной среде
Debugger Evasion
Sticky Werewolf использует протектор Themida для
проверки наличия инструментов отладки
Credential
Access
Input Capture: Keylogging
Sticky Werewolf может использовать модуль
кейлоггера вредоносной программы Ozone RAT
для осуществления записи нажатий клавиш
Unsecured Credentials:
Credentials In Files
Sticky Werewolf может использовать Ozone RAT
для получения аутентификационных данных
почтовых приложений Outlook и Thunderbird
Credentials from Password
Stores: Credentials from Web
Browsers
Sticky Werewolf может использовать Ozone RAT
для получения аутентификационных данных,
сохраненных в веб-браузерах
Discovery File and Directory Discovery
Sticky Werewolf использует Ozone RAT для
получения информации о файлах и папках
Process Discovery
Sticky Werewolf использует Ozone RAT для
получения информации об активных процессах
Query Registry
Sticky Werewolf использует Ozone RAT для
удаленной работы с реестром ОС Windows
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 8 of 10

Тактика Техника Процедура
System Information Discovery
Sticky Werewolf использует Ozone RAT для
получения информации о скомпрометированной
системе
Lateral
Movement
Remote Services: VNC
Sticky Werewolf может использовать модуль HVNC
вредоносной программы Ozone RAT для скрытого
управления скомпрометированными хостами
Collection Data from Local System
Sticky Werewolf собирает данные
со скомпрометированной системы
Screen Capture
Sticky Werewolf может осуществлять запись с
экрана с помощью Ozone RAT
Video Capture
Sticky Werewolf может осуществлять запись с веб-камеры с помощью Ozone RAT
Audio Capture
Sticky Werewolf может осуществлять запись с
микрофона с помощью Ozone RAT
Command
and Control
Non-Application Layer Protocol
Sticky Werewolf использует протокол TCP для
взаимодействия с C2-сервером
Ingress Tool Transfer
Sticky Werewolf использует модуль загрузки Ozone
RAT для получения основного модуля вредоносной
программы
Non-Standard Port
Sticky Werewolf использует нестандартный порт
для коммуникаций с C2-сервером
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 9 of 10

Тактика Техника Процедура
Exfiltration Exfiltration Over C2 Channel
Sticky Werewolf использует C2-сервер для
выгрузки собранных данных
Индикаторы компрометации
185.12.14[.]32:666 ;
yandeksdisk[.]org ;
diskonline[.]net ;
078859c7dee046b193786027d5267be7724758810bdbc2ac5dd6da0ebb4e26bb ;
9162ccb4816d889787a7e25ba680684afca1d7f3679c856ceedaf6bf8991e486 .
Больше индикаторов компрометации доступно на платформе BI.ZONE Threat Intelligence.
Как защитить компанию от таких угроз
Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять
специализированные сервисы, помогающие фильтровать нежелательные письма. Одно из таких
решений — BI.ZONE Mail Security. Оно избавляет компании от проблемы нелегитимных писем,
инспектируя каждое электронное сообщение. При этом используется более 600 механизмов фильтрации,
реализованных на основе машинного обучения, статистического, сигнатурного и эвристического анализа.
Такая проверка не задерживает доставку безопасных писем.
Для того чтобы лучше знать актуальный ландшафт киберугроз и понимать, как именно атакуют
инфраструктуры, похожие на вашу, мы рекомендуем использовать данные с платформы BI.ZONE Threat
Intelligence. Решение помогает проактивно защищать бизнес благодаря аналитическим данным
с исчерпывающей информацией об атакующих и ежедневно обновляемым индикаторам компрометации
для повышения эффективности работы ваших средств защиты информации.
Source: https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/
Page 10 of 10