СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 ноября
#ИБ

Bloody Wolf: APT-кампания целевого фишинга с NetSupport

С конца 2023 года и по прогнозам на 2025 год APT-группировка Bloody Wolf проводит целенаправленные кампании по распространению устойчивых угроз, преимущественно в Центральной Азии и России. В отчёте, посвящённом активности группы, подробно описаны её тактики, векторы заражения и рекомендации по защите организаций.

Кто такие Bloody Wolf и где они активны

Bloody Wolf — это APT-группировка, действующая с конца 2023 года. Основные географические приоритеты атак — страны Центральной Азии и объекты в России. Цели злоумышленников включают государственные учреждения, ИТ и телекоммуникационный сектор, финансовые организации, а также частные и коммерческие структуры.

Тактика атак и цепочка заражения

Группа использует продуманные кампании целевого фишинга по электронной почте, где злоумышленники выдают себя за официальные органы. В отчёте подчёркивается следующая модель атаки:

  • Электронное письмо, замаскированное под официальное сообщение (часто от имени Министерства юстиции), содержит PDF-вложение.
  • PDF включает вредоносные ссылки, оформленные как «материалы дела». При переходе по ссылке загружается файл JAR (Java Archive).
  • JAR-файл функционирует как загрузчик, который доставляет и запускает дополнительное вредоносное ПО — в частности, ПО для удалённого доступа.
  • В дальнейшем атакующие получают несанкционированный удалённый доступ и осуществляют эксфильтрацию данных.

«Bloody Wolf выдает себя за правительственные учреждения, в частности Министерства юстиции, чтобы завоевать доверие своих жертв.»

Использование JAR-файлов, созданных с помощью пользовательского генератора, даёт группе преимущества: такие файлы часто небольшие по размеру, написаны на Java — технологии с высокой легитимностью — и благодаря этому лучше уклоняются от детектирования антивирусными продуктами.

Инструменты злоумышленников: от STRRAT до NetSupport Manager

Изначально в кампаниях Bloody Wolf применялось коммерческое вредоносное ПО STRRAT. Однако в последнее время наблюдается переход на использование легитимного удалённого ПО — NetSupport Manager. Этот продукт предназначен для удалённого администрирования и поддержки и широко используется в образовании, здравоохранении и других отраслях. В руках злоумышленников NetSupport Manager превращается в инструмент для несанкционированного удалённого доступа и вывода данных.

Смена инструментария подчёркивает ключевой риск: даже легитимные коммерческие инструменты можно перепрофилировать для злоумышленной деятельности.

Социальная инженерия и выбор прикрытия

Стратегия группы сочетает технические приёмы и навыки социальной инженерии. Прикрытие официальными сообщениями государственных органов повышает доверие получателей и, как следствие, вероятность успешного фишинга. Такой подход демонстрирует понимание психологических триггеров, используемых для обхода бдительности сотрудников.

Рекомендации по защите

В отчёте даны практические меры, которые помогут снизить риск заражения и распространения угроз от Bloody Wolf:

  • Блокировать выполнение файлов JAR на рабочих станциях и серверах, где это не требуется.
  • Отключить Java runtime в средах, где использование Java не является необходимым.
  • Внедрить строгую проверку PDF-вложений в электронной почте и инструменты фильтрации ссылок внутри документов.
  • Ограничить использование удалённого ПО и контролировать легитимные инструменты администрирования (включая NetSupport Manager): применять белые списки, контролировать сетевые соединения и логи доступа.
  • Проводить регулярное обучение сотрудников для распознавания целевых фишинговых писем и официальных сообщений, поступающих неожиданно.
  • Использовать многофакторную аутентификацию и сегментацию сети для минимизации последствий успешного проникновения.

Вывод

Bloody Wolf сочетает технически выверенные приёмы с продуманной социальной инженерией, что делает их опасным игроком на пространстве киберугроз в регионе. Особую тревогу вызывает использование как кастомных легковесных загрузчиков на базе JAR, так и перепрофилированного легитимного ПО — NetSupport Manager. Для организаций критично внедрять комплексные меры защиты: блокирование потенциально опасного исполнения, контроль использования Java и удалённых инструментов, а также регулярное обучение персонала.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: