- 22,447
- 46
- 8 Ноя 2022
Злоумышленники используют программу-шпион, которую, казалось, все давно забыли.
Группа «Bloody Wolf» расширяет целевую кампанию в Центральной Азии, используя NetSupport RAT и подмену государственных ведомств. По данным специалистов Group-IB, атаки, начавшиеся летом 2025 года в Киргизии, осенью вышли и на Узбекистан, затронув финансовые организации, госструктуры и ИТ-компании.
Аналитики Group-IB Амирбек Курбанов и Волен Кайо связывают активность с «Bloody Wolf» — малоизученной хакерской группой, которая с конца 2023 года использует прицельные фишинговые рассылки против организаций в Казахстане и России. Ранее в арсенале этой команды уже отмечались инструменты STRRAT и NetSupport, сейчас география сместилась к другим странам региона.
Основой новой волны атак стала имитация министерств, в первую очередь Минюста Киргизии. Злоумышленники регистрируют домены, похожие на официальные адреса, и рассылают письма с вложенными PDF-документами, оформленными под служебную переписку. Получателям предлагают перейти по ссылке и установить среду Java, якобы необходимую для просмотра вложений, однако вместо доступа к документам на устройство загружается Java-архив, выполняющий роль загрузчика.
Этот JAR-файл, созданный на базе Java 8, по оценке специалистов формируется с помощью специально подготовленного генератора или шаблона. После запуска он подключается к инфраструктуре злоумышленников, загружает следующую стадию — NetSupport RAT на базе устаревшей версии NetSupport Manager образца 2013 года — и закрепляется в системе. Для сохранения присутствия используются несколько механизмов одновременно: добавление задания в планировщик, изменение параметров в реестре Windows и размещение сценария в каталоге автозагрузки пользовательского профиля.
Этап кампании, ориентированный на Узбекистан, выделяется применением геофильтрации. Запросы к вредоносным ресурсам из-за пределов страны перенаправляются на легитимный портал data.egov[.]uz, тогда как обращения из узбекских сетей приводят к скачиванию вредоносного JAR-файла по скрытой в PDF ссылке. Такой подход осложняет анализ инфраструктуры и снижает вероятность случайного обнаружения.
Специалисты подчёркивают, что «Bloody Wolf» строит операции на сочетании простых методов социальной инженерии и доступных коммерческих решений. Опора на доверие к госорганам, использование старых, но всё ещё рабочих версий ПО и минимальные затраты на инструментарий позволяют группе сохранять незаметное присутствие и развивать активность на киберпространстве Центральной Азии.
Группа «Bloody Wolf» расширяет целевую кампанию в Центральной Азии, используя NetSupport RAT и подмену государственных ведомств. По данным специалистов Group-IB, атаки, начавшиеся летом 2025 года в Киргизии, осенью вышли и на Узбекистан, затронув финансовые организации, госструктуры и ИТ-компании.
Аналитики Group-IB Амирбек Курбанов и Волен Кайо связывают активность с «Bloody Wolf» — малоизученной хакерской группой, которая с конца 2023 года использует прицельные фишинговые рассылки против организаций в Казахстане и России. Ранее в арсенале этой команды уже отмечались инструменты STRRAT и NetSupport, сейчас география сместилась к другим странам региона.
Основой новой волны атак стала имитация министерств, в первую очередь Минюста Киргизии. Злоумышленники регистрируют домены, похожие на официальные адреса, и рассылают письма с вложенными PDF-документами, оформленными под служебную переписку. Получателям предлагают перейти по ссылке и установить среду Java, якобы необходимую для просмотра вложений, однако вместо доступа к документам на устройство загружается Java-архив, выполняющий роль загрузчика.
Этот JAR-файл, созданный на базе Java 8, по оценке специалистов формируется с помощью специально подготовленного генератора или шаблона. После запуска он подключается к инфраструктуре злоумышленников, загружает следующую стадию — NetSupport RAT на базе устаревшей версии NetSupport Manager образца 2013 года — и закрепляется в системе. Для сохранения присутствия используются несколько механизмов одновременно: добавление задания в планировщик, изменение параметров в реестре Windows и размещение сценария в каталоге автозагрузки пользовательского профиля.
Этап кампании, ориентированный на Узбекистан, выделяется применением геофильтрации. Запросы к вредоносным ресурсам из-за пределов страны перенаправляются на легитимный портал data.egov[.]uz, тогда как обращения из узбекских сетей приводят к скачиванию вредоносного JAR-файла по скрытой в PDF ссылке. Такой подход осложняет анализ инфраструктуры и снижает вероятность случайного обнаружения.
Специалисты подчёркивают, что «Bloody Wolf» строит операции на сочетании простых методов социальной инженерии и доступных коммерческих решений. Опора на доверие к госорганам, использование старых, но всё ещё рабочих версий ПО и минимальные затраты на инструментарий позволяют группе сохранять незаметное присутствие и развивать активность на киберпространстве Центральной Азии.
- Источник новости
- www.securitylab.ru
