Исследователи зафиксировали кампанию, которую связывают с группировкой Bloody Wolf (также упоминается как STAN Ghouls). В атаке используется легитимное ПО удалённого администрирования NetSupport Manager, которое доставляется через многоступенчатую фишинговую цепочку.
Начальный вектор — целевое фишинговое письмо. Сообщения оформлены как официальные уведомления (в ряде случаев — от имени государственных структур). В письме содержится PDF-вложение.
Внутри PDF размещена ссылка на внешний ресурс. Пользователю предлагается скачать файл для «просмотра документа» или «получения полного содержимого». Этот файл представляет собой Java Archive (JAR), который выполняет роль загрузчика.
После запуска JAR-файл устанавливает на устройство NetSupport Manager — инструмент удалённого доступа. В ряде случаев используется устаревшая версия клиента. Далее вредоносная цепочка обеспечивает закрепление в системе (persistency), чтобы инструмент запускался при перезагрузке.
Фактически злоумышленник получает полноценный удалённый доступ к рабочей станции.
NetSupport Manager — легитимное программное обеспечение, применяемое для удалённого администрирования и технической поддержки. Это даёт злоумышленникам несколько преимуществ:
— бинарники не всегда детектируются как вредонос;
— активность может выглядеть как обычная сессия удалённой поддержки;
— инструмент обеспечивает широкий функционал: управление экраном, файловой системой, запуск команд, передачу данных.
Использование легального ПО снижает порог обнаружения на уровне сигнатурной защиты и требует поведенческого анализа или строгой политики допустимых инструментов удалённого доступа.
Кампания наблюдалась в странах Центральной Азии и СНГ. В фокусе — государственные организации, финансовый сектор, IT-компании и предприятия с чувствительными данными.
Характер атак указывает на целевой подход: письма адаптированы под локальный контекст, используются официальные формулировки и тематики, вызывающие у получателя необходимость срочной реакции.
В цепочке атаки можно выделить несколько важных моментов:
Использование PDF как промежуточного контейнера снижает подозрения на первом этапе.
Загрузка JAR-файла позволяет обойти некоторые почтовые фильтры, если исполняемый файл не передаётся напрямую.
Установка легитимного инструмента удалённого доступа маскирует контроль над системой под штатную активность.
На этапе эксплуатации злоумышленник может:
просматривать экран и действия пользователя; выгружать документы; загружать дополнительные инструменты; использовать доступ как точку входа для дальнейшего перемещения по сети.
Основной риск связан не столько с конкретным инструментом, сколько с отсутствием контроля над:
— запуском исполняемых файлов, загруженных из почты;
— установкой ПО пользователями;
— появлением в инфраструктуре несанкционированных средств удалённого доступа;
— нетипичными исходящими соединениями.
Если в организации разрешена установка ПО без централизованного контроля и не ведётся мониторинг удалённых сессий, подобная атака может долго оставаться незамеченной.
С точки зрения защиты инфраструктуры стоит обратить внимание на:
— ограничения выполнения JAR и других исполняемых файлов;
— whitelisting разрешённых инструментов удалённого администрирования;
— мониторинг установки сервисов и автозапуска;
— поведенческий анализ активности удалённого доступа;
— регулярное тестирование сотрудников на сценарии, имитирующие официальные уведомления.