РБК Компании
РБК Компании
Подписка на РБК
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
РБК Компании
Телеканал
РБК Вино
Спорт
РБК Образование
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Рынок наличной валюты
Экономика образования
Здоровье
Angara Security 9 октября 2025

Angara MTDR зафиксировала активизацию группировки Rare Werewolf

Зафиксирована фишинговая кампания против российских организаций, нацеленная на компрометацию учетных данных

Специалисты отдела реагирования и цифровой криминалистики Angara MTDR зафиксировали новую фишинговую рассылку группировки Rare Werewolf (также отслеживаемые как Librarian Ghouls, Librarian Likho, Rezet). Основной целью злоумышленников является кража учетных данных пользователей.

Новая волна атак начинается с рассылки писем сотрудникам компаний. Тема, содержание письма и приложенный зашифрованный архив замаскированы под правки к техническому заданию. Вредоносная нагрузка в архиве − исполняемый файл «Техническое задание №119843-28 Исх. N_3435.scr», стилизованный под PDF‑документ. Файл создан с помощью Smart Install Maker и является самораспаковывающимся установщиком.

При открытии файла происходит компрометация рабочей станции: с помощью командных файлов, с сервера злоумышленников загружается несколько вредоносных файлов, в том числе модифицированная консольная версия архиватора WinRAR, утилита Blat для отправки украденных данных по электронной почте, AnyDesk для удаленного доступа. В процессе установки AnyDesk задается пароль, что обеспечиваем мошенникам постоянный неконтролируемый доступ к данным. Далее происходит сбор паролей и другой информации, которая отправляется на контролируемый злоумышленниками удаленный ресурс. Все используемые файлы удаляются сразу после выполнения своей задачи.

«Группа Rare Werewolf (ранее известная как Rare Wolf и отслеживаемая под именами Librarian Ghouls, Librarian Likho, Rezet) — хакерская группировка, которая атакует организации различных отраслей на территории России, Беларуси и Казахстане как минимум с 2019 года. Новая кампания группировки началась в конце 2024 года. Сегодня мы наблюдаем очередную волну атак на российские компании, в рамках которой проанализировали рассылаемое хакерами ВПО и выявили индикаторы компрометации», — отметила Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Управления цифровой криминалистики и киберразведки Angara MTDR.

Также стоит обратить внимание, что среди удаляемых файлов есть архив tdata.rar, который свидетельствует о возможном сборе информации из десктопной версии мессенджера Telegram, что характерно для данного кластера.

Эксперты Angara MTDR рекомендуют пользователям внимательно относиться ко всей приходящей корреспонденции, установить и регулярно обновлять антивирусы, использовать комплексную защиту корпоративной почты, включая защиту от фишинга, и комплексную защиту конечных устройств (решения класса EDR).

Присоединяйтесь к компаниям, которые уже делятся новостями бизнеса на РБК КомпанииУзнать больше