Il gruppo di cybercriminali noto come Rare Werewolf, precedentemente conosciuto come Rare Wolf, è stato collegato a una serie di attacchi informatici mirati contro aziende russe e organizzazioni di Paesi della Comunità degli Stati Indipendenti (CIS). Questo gruppo si distingue per la preferenza nell’utilizzare software legittimo di terze parti piuttosto che sviluppare binari malevoli dedicati. Le funzionalità dannose delle loro campagne sono infatti implementate tramite file di comando e script PowerShell, rendendo più difficile il rilevamento e l’attribuzione delle attività.

L’obiettivo degli attacchi è ottenere accesso remoto ai dispositivi compromessi, sottrarre credenziali e installare il miner di criptovalute XMRig. L’ondata recente di attività ha colpito centinaia di utenti russi, tra cui imprese industriali e scuole di ingegneria, con infezioni segnalate anche in Bielorussia e Kazakistan. Rare Werewolf, conosciuto anche come Librarian Ghouls o Rezet, è un gruppo APT attivo almeno dal 2019 e già responsabile di attacchi contro entità in Russia e Ucraina.

Accesso iniziale e strumenti impiegati

L’accesso iniziale viene ottenuto tramite campagne di phishing via email. Una volta penetrati nella rete, gli attaccanti rubano documenti, dati delle chat Telegram e impiegano strumenti come Mipko Employee Monitor, WebBrowserPassView e Defender Control. Questi strumenti consentono di interagire con la macchina infetta, raccogliere password e disattivare i software antivirus.

Tecniche di infezione e persistenza

Gli attacchi documentati recentemente iniziano con email di phishing contenenti archivi protetti da password. All’interno si trova un installer che distribuisce un’applicazione legittima, 4t Tray Minimizer, insieme a payload dannosi e documenti PDF esca, creati per simulare ordini di pagamento. 4t Tray Minimizer consente di minimizzare le applicazioni in esecuzione nella system tray, nascondendo così la presenza degli attaccanti sul sistema vittima.

I payload intermedi scaricano altri file dai server dei criminali, tra cui Defender Control e Blat, un tool legittimo usato per inviare dati rubati all’indirizzo email degli aggressori tramite SMTP. È stato inoltre rilevato l’uso di AnyDesk per il controllo remoto e di script batch Windows per facilitare il furto di dati e l’installazione del miner di criptovalute.

Automazione e tecniche di evasione

Un aspetto rilevante degli script utilizzati è la capacità di risvegliare automaticamente il computer della vittima alle 1 di notte e garantire l’accesso remoto agli attaccanti per una finestra di quattro ore, spegnendo poi la macchina tramite operazioni pianificate. L’impiego di software legittimo complica notevolmente il compito di individuare e attribuire le attività malevoli di Rare Werewolf.