{ "id": "19b2c160-4008-4f17-be44-a35b62b060b3", "created_at": "2026-04-06T00:12:27.677796Z", "updated_at": "2026-04-10T03:31:36.050147Z", "deleted_at": null, "sha1_hash": "da55acbd5c41b91182fcfc928e21088699231e48", "title": "F.A.C.C.T. обнаружил новые атаки проукраинских кибершпионов Sticky Werewolf", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1454239, "plain_text": "F.A.C.C.T. обнаружил новые атаки проукраинских\r\nкибершпионов Sticky Werewolf\r\nBy EditorF6\r\nPublished: 2025-01-15 · Archived: 2026-04-05 18:58:59 UTC\r\n3 мин\r\n6.4K\r\nПосле новогодних праздников APT-группировка Sticky Werewolf пыталась атаковать российские научно-производственные предприятия. На этот раз кибершпионы отправляли фейковые фишинговые письма от\r\nимени Минпромторга России. Одно из таких фишинговых писем вечером 13 января перехватило и\r\nзаблокировало решение по выявлению сложных киберугроз F.A.C.C.T. Managed XDR. Специалисты\r\nЦентра кибербезопасности F.A.C.C.T. провели анализ рассылки.\r\nSticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения,\r\nНИИ и промышленные предприятия из сферы военно-промышленного комплекса России. Отмечались\r\nтакже атаки в Беларуси и Польше. В ĸачестве первоначального веĸтора атаĸ группа использует\r\nфишинговые рассылĸи по элеĸтронной почте с вредоносными вложениями, в которых часто\r\nвстречаются таĸие инструменты, ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры\r\nGlory Stealer и MetaStealer (вариация RedLine Stealer).\r\n Как действовали Sticky Werewolf\r\nЗлоумышленники отправляли вредоносные письма, в которых содержалось \"поручение\" проработать\r\nвопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в\r\nhttps://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nPage 1 of 6\n\nучреждениях уголовно-исправительной системы с привлечением осужденных.\r\nВ качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. На то, что\r\nдокумент \"липовый\", указывает, среди прочего, несоответствие должности Дениса Мантурова (с мая 2024\r\nгода он уже не глава Минпромторга) и разные даты принятия \"решения\", о которых говорится в январской\r\nи декабрьской рассылках.\r\n  Письмо содержит два вложения:\r\n1) Сопроводительное письмо-приманку на бланке Минпромторга\r\n2) Форма заполнения.rar — вредоносный архив, защищенный паролем: 2025.\r\nРисунок 1. Образец фишингового письма.\r\nСодержимое вложений\r\n Первое вложение содержало фальшивый документ-приманку\r\n«Письмо_в_организации_по_привлечению_осужденных.docx».\r\nhttps://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nPage 2 of 6\n\nРисунок 2. Документ-приманка из фишингового письма.\r\nВторое вложение содержало запароленный архив. Внутри архива находился документ «список\r\nрассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe».\r\nПри запуске в конечном итоге происходит доставка трояна удаленного доступа Ozone RAT,\r\nпредназначенного для предоставления скрытого удаленного доступа к скомпрометированному устройству.\r\nhttps://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nPage 3 of 6\n\nРисунок 3. Содержимое вредоносного архива.\r\nРисунок 4. Сведения об атрибуции Ozone RAT, полученные после анализа в F.A.C.C.T.\r\nMalware Detonation Platform.\r\nПримеры автоматизированных отчетов F.A.C.C.T. Malware Detonation Platform можно посмотреть здесь.\r\nПоиск похожих рассылок\r\nВ ходе дополнительного исследования было обнаружено фишинговое письмо от 23 декабря 2024 года с\r\nаналогичной темой, в котором содержалось два фейковых документа\r\n«Письмо_в_организации_по_привлечению_осужденных.docx» и «список рассылки.docx». \r\nЗлоумышленники также атаковали научно-производственное предприятие, однако в письме отсутствовал\r\nархив с полезной нагрузкой внутри.\r\nhttps://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nPage 4 of 6\n\nРисунок 5. Фишинговое письмо, найденное в открытых источниках.\r\nНапомним, что в декабре 2023 года Sticky Werewolf дважды атаковали российскую фарму, прикрываясь\r\nМЧС и Минстроем, а в январе 2024 года отправляли фейковые письма якобы от ФСБ.\r\nИндикаторы компрометации\r\nФайловые индикаторы\r\nПисьмо_в_организации_по_привлечению_осужденных.docx\r\nSHA1: 969977a682bac07eb1f9196041077d3c332b2b37 \r\nФорма заполнения.rar\r\nSHA1: 0919987e12e51e55824959323ed23a9d3387fbad\r\nФорма заполнения.pdf.exe\r\nSHA1: 74f6f78bd8f1cc30e911350b60fe9b4eaf69e21c\r\nrebrand.exe\r\nSHA1: 4c92e612f006838f10b50a9aa102c4430f9b8495\r\nhttps://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nPage 5 of 6\n\nser.vbs\r\nSHA1: d558d8501286b0b322a06a2e2f21fc6c03d45316\r\nсписок рассылки.docx\r\nSHA1: 861118c8a32157349c1d3dc76e774c027c05433c\r\nСетевые индикаторы\r\n45[.]155[.]249[.]126\r\n84[.]22[.]195[.]72\r\nbitbucket[.]org/5w457/ed512/downloads/emnfpac[.]txt\r\nhXXps://bitbucket[.]org/ghjkkkkkkkk/tdrdreest/downloads/img[.]jpg?537612\r\nhXXps://raw[.]githubusercontent[.]com/gmedusa135/nano/refs/heads/main/new_img123[.]jpg\r\nSource: https://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nhttps://habr.com/ru/companies/f_a_c_c_t/news/873762/\r\nPage 6 of 6", "extraction_quality": 1, "language": "RU", "sources": [ "Malpedia" ], "references": [ "https://habr.com/ru/companies/f_a_c_c_t/news/873762/" ], "report_names": [ "873762" ], "threat_actors": [ { "id": "ce6c9df9-bf82-4e6c-b355-9285463a37c8", "created_at": "2025-03-07T02:00:03.792481Z", "updated_at": "2026-04-10T02:00:03.818734Z", "deleted_at": null, "main_name": "Angry Likho", "aliases": [ "Sticky Werewolf" ], "source_name": "MISPGALAXY:Angry Likho", "tools": [], "source_id": "MISPGALAXY", "reports": null } ], "ts_created_at": 1775434347, "ts_updated_at": 1775791896, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/da55acbd5c41b91182fcfc928e21088699231e48.pdf", "text": "https://archive.orkl.eu/da55acbd5c41b91182fcfc928e21088699231e48.txt", "img": "https://archive.orkl.eu/da55acbd5c41b91182fcfc928e21088699231e48.jpg" } }