Fluffy Wolf атаковала российские компании через GitHub
2 мин
15
Хакерская группировка Fluffy Wolf атаковала российские организации из сферы строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции. Аналитики BI.ZONE зафиксировали серию фишинговых атак в период с марта по май.
В письмах злоумышленники представлялись партнёрами или подрядчиками компании-жертвы и предлагали погасить финансовую задолженность. Во вложении присутствовали файлы с платёжными реквизитами. Для каждой атаки злоумышленники использовали один из двух способов: через вложения в виде RAR-архивов и через ссылки на репозитории GitHub, откуда загружались такие же архивы. Внутри них находились загрузчики и дропперы для доставки стилера PureLogs, трояна удалённого доступа PureRAT и шифровальщика Pay2Key.
Вредоносные инструменты группировка не разрабатывала самостоятельно, а закупала на теневых площадках. Для новой кампании хакеры также приобрели загрузчик PowerLoader. Суммарная стоимость всего арсенала, который злоумышленники использовали в кампании, оценивается в несколько тысяч долларов. При этом средняя сумма выкупа в 2025 году составила 193 тысячи долларов.
Помимо привычного набора инструментов, кластер применил плагин PluginRemoteDesktop для PureRAT, который ранее не встречался в атаках на российские организации. Использование ссылок на GitHub позволило злоумышленникам обойти почтовые фильтры и сетевые средства защиты: такие адреса выглядели легитимно и не вызывали подозрений у систем безопасности.
