Группа хакеров Paper Werewolf провела новую серию атак на российские компании

Группа хакеров Paper Werewolf, известная также как GOFFEE провела очередную серию атак на российские компании. Теперь они используют уязвимость WinRAR, самого популярного архиватора. Об этом сообщил РБК со ссылкой на отчет компании Bi.zone.

В июле–начале августа Paper Werewolf провели серию кибератак против организаций из России и Узбекистана. В основе их стратегии по-прежнему фишинговые письма — эту модель они используют с 2022 года, когда их впервые заметили в «Лаборатории Касперского». Но теперь вредоносное ПО содержится в прикрепляемых к письмам RAR-архивах.

РБК объяснили в Bi.zone, что переход на RAR-архивы позволяет хакерам успешнее проходить фильтры в электронной почте, так как подобные вложения в деловой переписке — «обычное дело».

Согласно сообщению Bi.zone одной из последних жертв Paper Werewolf стал производитель спецоборудования, в его систему киберзлоумышленники пробрались через фишинговое письмо с «документами из министерства». В декабре 2024 года Bi.zone сообщили о хакерской рассылке с постановлением администрации города Курска «Об утверждении порядка действий органов власти в случаи ухудшения обстоятельств в прифронтовых районах Курской области».

Использование RAR-архивов имеет и технологическое обоснование. Это позволяет хакерам из Paper Werewolf применять существующие в WinRAR уязвимости. Незадолго до начала атак, по данным Bi.zone в даркнете появилась компьютерная программа (эксплоит), эксплуатирующая недочет в защите архиватора.

По данным «Лаборатории Касперского» за апрель 2025 года, Paper Werewolf провели атаки на телекоммуникационные и строительные компании, на государственный и энергетический сектора и даже на СМИ. Ранее было известно группировка атаковала только российские организации.