🛡 CRATU сравнивает: Rare Werewolf vs. Cavalry/Sapphire Werewolf — эволюция "волчьих" APT! 🐺 Кто такие "Werewolf"-группы и их сходства? В этом выпуске мы опираемся на конкретный IOC-пакет по Rare Werewolf (AnyDesk + домены/URL/IP/хэши). Для остальных “Werewolf”-групп здесь приводим лишь общий контекст по схожести подходов (фишинг → исполнение → удалённый доступ), без привязки к этому IOC-файлу. 🔤 Rare Werewolf (Librarian Ghouls, Rezet) фокусируется на фишинге с AnyDesk для CIS. 🔤 Cavalry Werewolf (YoroTrooper) использует Tomiris для шпионажа. 🔤 Sapphire Werewolf эксплуатирует уязвимости. #️⃣ Общие черты: фишинг, RAT; различия: Rare — AnyDesk, Cavalry — backdoors. Группировка активно применяет техники из MITRE ATT&CK: 🎯 T1566.001 — Фишинг: Spearphishing Attachment (общий для всех). 📄 T1204.002 — User Execution: Malicious File (запуск вредоносного файла). 📦 T1219 — Remote Access Software (RAT/backdoors). ⚠️ Как это добро детектить в любой SIEM-системе Для сравнительной детекции настройте универсальное правило. В SIEM: 1️⃣ Шаг 1: Детекция фишинга. Фильтруйте RAR/EXE от подозрительных доменов (для Rare) или IP (для Cavalry). 2️⃣ Шаг 2: Мониторинг RAT. Коррелируйте AnyDesk/Tomiris запусками. 3️⃣ Шаг 3: Сетевые маркеры. Проверяйте C2 для всех групп. 4️⃣ Шаг 4: Корреляция. Цепочка + IOC — алерт как "Werewolf-атака". Дополнительно: Обновляйте IOC для всех вариаций. 👁‍🗨 Подписывайтесь на CRATU — мы сравниваем APT и обновляем IOCs в реальном времени!