Cavalry Werewolf对政府机构发起网络攻击以部署网络后门

2025年7月，Doctor Web反病毒实验室收到来自俄罗斯联邦一家政府机构的关键警报。该机构在发现来自其企业邮箱地址的垃圾邮件后，怀疑网络已遭入侵。

最初看似常规的调查很快升级为对名为Cavalry Werewolf的威胁行为者组织策划的复杂定向攻击的发现。调查显示，攻击者的主要目标包括窃取机密信息并绘制组织网络配置图，以便更深入地渗透关键基础设施。

攻击向量分析

威胁行为者采用了传统但高效的攻击向量：包含伪装成合法政府文件的恶意附件的钓鱼邮件。这些消息通过BackDoor.ShellNET.1传递，这是一个基于Reverse-Shell-CS开源项目的先前未知后门。

该恶意软件被巧妙地打包在使用模仿官方政府通信的欺骗性文件名的密码保护存档中，例如“Служебная записка от 16.06.2025”和“О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe”。

一旦执行，后门就会建立反向shell连接，授予攻击者在受感染系统上的远程命令执行能力。

在成功获得初始访问权限后，Cavalry Werewolf利用Windows内置工具Bitsadmin从其命令和控制服务器下载额外的恶意负载。

攻击者立即部署了Trojan.FileSpyNET.5，这是一个复杂的文件窃取程序，旨在窃取包括.doc、.docx、.xlsx、.pdf和图像文件在内的文档。

随后，他们安装了BackDoor.Tunnel.41，这是一个基于ReverseSocks5开源软件的恶意软件变体，能够创建SOCKS5隧道以进行隐蔽网络访问和命令执行。

Doctor Web的调查揭示了Cavalry Werewolf在多个攻击阶段使用的广泛工具包。

初始入侵阶段涉及多种恶意软件变体，包括BAT.DownLoader.1138批处理脚本、可执行特洛伊木马如Trojan.Packed2.49708和Trojan.Siggen31.54011，以及多个后门变体包括BackDoor.Siggen2.5463和BackDoor.RShell.169。

每个变体在攻击链中都有特定用途，其中一些通过Telegram机器人进行命令分发。

在后续感染阶段，该组织部署了高级后门，如Trojan.Inject5.57968（将加密负载注入合法的aspnet_compiler.exe进程）和BackDoor.ReverseProxy.1（建立持久的SOCKS5代理访问）。

值得注意的是，Cavalry Werewolf篡改了合法软件二进制文件，包括WinRar、7-Zip、Visual Studio Code和PDF阅读器，嵌入恶意代码同时使应用程序无法正常运行。

一旦在受害者网络中站稳脚跟，Cavalry Werewolf使用合法的Windows实用程序执行系统侦察活动。

攻击者查询用户信息，通过ipconfig命令枚举网络配置，并测试代理服务器连接。

他们利用PowerShell、Bitsadmin和curl提供额外的恶意工具，修改Windows注册表项以实现持久性，并利用公共目录（如C:\users\public\pictures）来暂存恶意软件负载。

Cavalry Werewolf活动展示了一个专门针对政府基础设施进行定向攻击的复杂威胁行为者组织。他们对开源软件的偏好、广泛的后门库和操作安全实践使他们成为重要的持续威胁。

组织应实施强大的电子邮件过滤、端点检测能力和网络分段，以防御类似的定向攻击活动。