Bloody Wolf: APT‑кампания с PDF‑фишингом и NetSupport
Bloody Wolf — это APT-группировка, занимающаяся распространением устойчивых угроз, которая действует с конца 2023 года и продолжит активность в 2025 году, особенно в Центральной Азии и России. Тактика группы сочетает технические приемы и социальную инженерию: злоумышленники проводят целевые кампании фишинга, выдавая себя за государственные учреждения (в частности, Министерство юстиции), чтобы завоевать доверие жертв и распространить вредоносные вложения.
Схема заражения
Цепочка атак Bloody Wolf детализируется следующим образом:
- Целевой фишинг по электронной почте с вложением PDF, замаскированным под «материалы дела» или другие официальные документы.
- Внутри PDF — вредоносные ссылки, которые при обращении инициируют загрузку файла JAR.
- Загруженный JAR действует как загрузчик для дополнительного вредоносного ПО, в первую очередь программ для удаленного доступа (RAT), используемых для несанкционированного доступа и эксфильтрации данных.
- Использование JAR-файлов, созданных с помощью пользовательского генератора, позволяет группе снижать вероятность обнаружения антивирусными средствами: файлы малого размера и опора на технологию Java добавляют легитимности.
Эволюция инструментов: от STRRAT к NetSupport Manager
Изначально Bloody Wolf применял коммерческое вредоносное ПО STRRAT, однако в последнее время группа переключилась на использование легитимного ПО NetSupport Manager. Этот инструмент широко используется для удаленного управления в образовании, здравоохранении и других секторах, но в руках злоумышленников он облегчает несанкционированный удаленный доступ и кражу данных. Использование коммерчески доступного ПО подчёркивает, как обычные инструменты могут быть перепрофилированы для злонамеренных целей.
Использование группой такого коммерчески доступного программного обеспечения показывает, как обычные инструменты могут быть перепрофилированы для злонамеренных целей.
Целевые отрасли и мотивация
Основные цели кампаний Bloody Wolf:
- государственные учреждения;
- сектор информационных технологий и телекоммуникаций;
- финансовые организации;
- частные и коммерческие структуры.
Стратегия группы демонстрирует не только технические возможности, но и глубокое понимание социальной инженерии: опора на авторитет государственных органов повышает вероятность успешного фишинга.
Рекомендации по защите
Для снижения риска заражения организациям рекомендуется внедрить следующие меры контроля:
- блокировать выполнение файлов JAR в корпоративных средах;
- отключать Java runtime там, где оно не требуется;
- внедрять строгие методы проверки вложений PDF в электронной почте (анализ ссылок, sandboxing и т.д.);
- обучать сотрудников распознавать неожиданные официальные сообщения и осторожно реагировать на запросы по электронной почте.
Bloody Wolf — пример современной APT-кампании, где сочетание легитимных инструментов и продуманной социальной инженерии делает угрозу серьёзной. Своевременное внедрение технических ограничений и повышение кибергигиены сотрудников остаются ключевыми факторами защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
