Vortex Werewolf атакует ОПК: шпионаж через Telegram и скрытые туннели Tor

Эксперты BI.ZONE Threat Intelligence раскрыли детали новой кибершпионской кампании, направленной против российских промышленных предприятий и организаций оборонно-промышленного комплекса (ОПК). За атаками стоит кластер активности Vortex Werewolf, также известный как SkyCloak. Основной вектор удара, это корпоративные и личные аккаунты сотрудников в Telegram.

Как работает схема

Атака начинается с классической социальной инженерии, но адаптированной под российские реалии, где Telegram де-факто стал стандартом рабочей переписки.

1. Сотрудник получает сообщение (часто с уже взломанного аккаунта коллеги или контрагента) с просьбой ознакомиться с документами.
2. Ссылка ведёт на фишинговый ресурс, который визуально имитирует «файлообменник Telegram» или страницу предварительного просмотра файлов. Дизайн скопирован один в один.
3. Для скачивания документа жертву просят авторизоваться: ввести номер телефона и код подтверждения.
4. В этот момент скрипт злоумышленников перехватывает сессию. Если у пользователя стоит облачный пароль (2FA), фейковая страница запрашивает и его.

Двойной удар: угон и скрытый доступ

В отличие от обычных мошенников, Vortex Werewolf не останавливается на краже аккаунта. После перехвата сессии злоумышленники устанавливают на устройство жертвы (часто это рабочий компьютер) инструменты для скрытого удалённого доступа.

В ходе январской кампании BI.ZONE фиксировала установку:

• Tor и OpenSSH - для создания скрытого канала связи. Файлы маскируются под легитимные приложения (photoshopexpress.exe, finalcutpro.exe, visualstudiocode.exe) и устанавливаются через планировщик задач Windows.
• Obfs4proxy - транспорт-мост для маскировки Tor-трафика, чтобы обойти системы обнаружения аномального сетевого поведения.
• Tor Hidden Service - публикует локальные сервисы (SSH, RDP, SMB, SFTP) в сети Tor, позволяя атакующим подключаться к скомпрометированной машине через .onion-адрес без прямого сетевого взаимодействия.

После настройки инфраструктуры злоумышленники передают идентификационные данные узла на свой C2-сервер в Tor и получают постоянный анонимизированный доступ ко всей системе жертвы.

Компрометация одного аккаунта сотрудника ОПК даёт злоумышленникам доступ к внутренней переписке, списку контактов и возможность развивать атаку дальше, рассылая фишинг уже от доверенного лица.

Но главная опасность, это не кража аккаунта, а то, что атакующие получают постоянный скрытый доступ к рабочей станции через Tor. Это позволяет им незаметно перемещаться по корпоративной сети, извлекать конфиденциальные данные и использовать скомпрометированный узел как плацдарм для дальнейших атак.