کمیته رکن چهارم– نهادهای دولتی روسیه در ماههای اخیر هدف مجموعهای از حملات سایبری با نام رمز Cavalry Werewolf قرار گرفتهاند؛ حملاتی که به گفته شرکت امنیتی BI.ZONE، با استفاده از بدافزارهایی مانند FoalShell و StallionRAT انجام شده و شباهتهایی به فعالیت گروه YoroTrooper دارد.
به گزارش کمیته رکن چهارم، این حملات از طریق ایمیلهای فیشینگ صورت گرفته که به نام مقامهای دولتی قرقیزستان ارسال شدهاند. برخی ایمیلها از آدرسهای واقعی مقامات استفاده کردهاند و فایلهای RAR آلوده حاوی بدافزار را پیوست داشتهاند. هدف اصلی، نهادهای دولتی روسیه و شرکتهای فعال در انرژی، معدن و تولید بودهاند.
بدافزار FoalShell یک شل معکوس سبک است که اجرای دستورات از راه دور را برای مهاجم ممکن میسازد. StallionRAT نیز قابلیتهای مشابهی دارد و اطلاعات را از طریق یک ربات تلگرام جمعآوری میکند. این ربات با دستوراتی مانند list و upload با سیستم آلوده ارتباط برقرار میکند.
تحلیلها نشان میدهد این حملات ممکن است فراتر از روسیه رفته باشند؛ چراکه فایلهایی با نام انگلیسی و عربی نیز در سیستمهای آلوده یافت شدهاند. ابزارهایی مانند ReverseSocks5Agent و ReverseSocks5 نیز برای جمعآوری اطلاعات روی دستگاهها فعال بودهاند.
طی یک سال گذشته، دستکم ۵۰۰ شرکت روسی هدف حملات سایبری قرار گرفتهاند. در ۸۶ درصد موارد، دادهها از طریق اپلیکیشنهای تحت وب منتشر شده و مهاجمان از ابزارهایی مانند gs-netcat، Adminer و phpMiniAdmin برای استخراج اطلاعات استفاده کردهاند. تحلیلگران امنیتی هشدار دادهاند که این کمپین نشانهای از گسترش دامنه عملیات و تنوع ابزارهای مورد استفاده مهاجمان است.
