Хакерская группа, известная как Bloody Wolf, значительно изменила свои методы атак, заменив ранее использовавшуюся вредоносную программу STRRAT на законный инструмент удаленного администрирования NetSupport. Это стратегическое изменение позволяет злоумышленникам избежать обнаружения с помощью традиционных мер безопасности.
Целевые регионы и методы атаки
Недавние действия группы были нацелены не только на организации в Казахстане, где они взломали более 400 систем, но и на предприятия в России. В своих атаках Bloody Wolf использует методы фишинга, распространяя вредоносный контент через документы, замаскированные под уведомления о соблюдении требований законодательства или судебные постановления, которые содержат вредоносные ссылки.
Технические детали атак
В ходе последних кампаний группа рассылала PDF-документы с фишинговыми ссылками, в результате чего жертвы загружали вредоносные JAR-файлы:
- NCALayerUpdatedRU.jar для Казахстана
- ReshenieJCP.jar для России
После загрузки эти файлы JAR проверяли наличие определенных каталогов в папке AppData пользователя, создавая их, если они отсутствовали. Затем файлы использовали ссылку из Pastebin для загрузки компонентов программного обеспечения NetSupport в эти папки. Основные компоненты:
- update.bat — запускает клиент NetSupport
- run.bat — обеспечивает сохранение в зараженной системе
Опасность легитимного ПО
В этой кампании использовалась версия NetSupport 11.42, предназначенная для удаленного управления, поддержки и образовательных целей. Однако, в руках злоумышленников, она предоставляет полный доступ к скомпрометированным системам, что позволяет манипулировать данными и красть их. Более того, операции координируются через специальный Telegram-канал, где злоумышленники отправляют названия скомпрометированных систем, что указывает на структурированный подход к управлению обнаруженными системами.
Рекомендации по защите и предотвращению атак
Ретроспективный анализ выявил присутствие Bloody Wolf в Казахстане и России, продемонстрировав их методичное использование фишинговых атак и законных инструментов для компрометации своих целей. Это событие подчеркивает значительную эволюцию тактики, направленной на использование растущей зависимости от инструментов удаленного администрирования в условиях увеличения удаленной работы, что создает новые уязвимости.
Для выявления и смягчения угроз, исходящих от Bloody Wolf и аналогичных субъектов, организациям рекомендуется:
- Внедрять надежные методы обнаружения конечных точек и реагирования на них.
- Осуществлять раннее распознавание атак для защиты от потенциальных нарушений целостности операционной системы.
- Понимать ландшафт основных угроз для эффективной подготовки защиты от развивающихся угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция тактики Bloody Wolf: фишинг и легитимные инструменты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.