Группировка Bloody Wolf скомпрометировала 400 организаций в России и СНГ с помощью NetSupport

Даже волки следуют моде: Bloody Wolf сменил инструментарий Команда BI.ZONE Threat Intelligence выявила новые детали в кампаниях Bloody Wolf. Если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь они перешли на легитимное средство удаленного администрирования NetSupport. Эта программа используется для удаленного обучения, управления корпоративными информационными системами, мониторинга и поддержки. Подобным способом ранее действовали и другие группировки. Такая тактика часто позволяет злоумышленникам остаться незаметными для классических средств защиты. Сперва исследователи отследили кампанию, нацеленную на организации в Казахстане. В дальнейшем аналитики также обнаружили кампанию, нацеленную на российские организации. Подробнее о новых кампаниях Bloody Wolf

Злоумышленники скомпрометировали 400 Российских организаций Злоумышленники скомпрометировали не менее 400 организаций России и других стран СНГ при помощи легитимного средства удаленного доступа NetSupport В своих атаках они имитировали уведомления от государственных органов, используя в фишинговых письмах данные жертв «Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество», — объяснил руководитель BI.ZONE Threat Intelligence Олег Скулкин. Источник – линк. // Не хакинг, а ИБ

Группировка Bloody Wolf взломала не менее 400 организаций России и СНГ с помощью NetSupport Эксперты компании BI.ZONE обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика. В этих атаках злоумышленники заменили коммерческий троян STRRAT на легитимное средство удаленного доступа NetSupport.

Bloody Wolf снова в деле: атака на российские компании Всем привет! Эксперты BI.ZONE зафиксировали новую атаку группировки Bloody Wolf, и на этот раз под удар попали российские компании. Финансы, ритейл, IT, транспорт — в сумме затронуто как минимум 400 организаций. Злоумышленники отказались от коммерческого трояна STRRAT и теперь используют легитимный инструмент удаленного доступа NetSupport, что делает их атаки более незаметными. Сценарий стандартный: фишинговые письма с PDF-файлом, который притворяется официальным уведомлением. Жертва кликает, загружает JAR-файл NCALayerUpdatedRU.jar , и вот в системе уже сидит NetSupport, получивший права на удаленный доступ. Никаких явных вредоносов, обычные антивирусы могут даже не среагировать. Похожую кампанию Bloody Wolf проводили в декабре в Казахстане, и тогда схема была почти идентичной. Разница в том, что теперь злоумышленники делают письма более убедительными, добавляя в PDF реальную правовую информацию о жертве. Такой целевой фишинг встречается редко, потому что требует подготовки, но зато куда эффективнее массовой рассылки мусора. P. S Когда фишинг становится персонализированным, шансы поймать «улов» резко возрастают. Так что, если вам вдруг прилетело письмо от налоговой — сначала проверьте его дважды. #Киберугрозы #BloodyWolf Белый хакер

Умный помощник, который всегда под рукой

Исследователи BI.ZONE продолжают отслеживать активность группы Bloody Wolf, которая в ходе последней замеченной кампании успешно скомпрометировала более 400 систем на территории Казахстана и России. Причем если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь перешли на легитимное средство удаленного администрирования NetSupport, стремясь минимизировать возможности обнаружения традиционными средствами защиты. Кроме того, легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции. Напасть на след Bloody Wolf исследователям удалось в декабре 2024 года. Как и прежде, злоумышленники распространяли в адрес компаний в Казахстане документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма. Документы содержали фишинговые ссылки, по которым жертва должна была загрузить вредоносный файл - NCALayerUpdatedRU.jar, который выступал загрузчиком. Он проверяет наличие папки %APPDATA%\NCALayerUpdated, при необходимости создает. По ссылке hxxps://pastebin[.]com/raw/pruy96p1 получает список ссылок для загрузки компонентов ПО NetSupport, которые грузит в указанную папку. Затем запускает загруженные update.bat и run.bat, отправляя в телеграм-чат имя скомпрометированной системы. При этом первый файл осуществляет запуск клиента NetSupport в версии 11.42, а второй обеспечивает его персистентность в системе. Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации. Как в случае с Казахстаном, злоумышленники задействовали фишинговые письма для распространения PDF-документов В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под вынесенное решение о привлечении к ответственности за совершение налогового правонарушения. Цепочка заражения аналогична за исключением наименований файлов, папок и ссылок. IoC и примеры фишинговых писем - отчете.

Группировка Bloody Wolf взломала не менее 400 организаций России и СНГ Эксперты компании BI.ZONE обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации В атаках злоумышленники заменили коммерческий троян STRRAT на легитимное средство удаленного доступа NetSupport и смогли получить доступ к IT-инфраструктурам как минимум 400 организаций Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве Материал для самостоятельного изучения: • Источник новости #BloodyWolf #News #NetSupport INSPECTOR