- 24,254
- 46
- 8 Ноя 2022
«Лаборатория Касперского» обнаружила 50 пострадавших от атак Stan Ghouls организаций в Узбекистане.
Группа Stan Ghouls, известная также как Bloody Wolf , как минимум с 2023 года ведет целевые атаки на организации в России, Кыргызстане, Казахстане и Узбекистане. В свежем исследовании Kaspersky подробно разобрала новую кампанию, которая прежде всего была нацелена на Узбекистан: аналитики насчитали около 50 пострадавших организаций, при этом атаки задели и Россию, где зафиксировано заражение примерно десяти устройств, а также отдельные случаи в Казахстане, Турции, Сербии и Беларуси, которые, вероятнее всего, оказались побочным эффектом рассылок.
Начинается все с адресного фишинга. Жертвам отправляют письма на местных языках с PDF-вложениями, оформленными как официальные документы. В одном из сценариев, описанных в отчете, письмо на узбекском имитирует уведомление суда и содержит безобидный одностраничный документ-приманку, а дальше пользователю подсовывают ссылку на загрузку JAR-файла и отдельно убеждают установить среду выполнения Java, якобы чтобы открыть «материалы дела». Именно этот подход и стал характерной чертой Stan Ghouls: вместо сложных эксплойтов злоумышленники делают ставку на социальную инженерию и собственные загрузчики на Java.
Раньше в их атаках чаще фигурировал STRRAT (его также называют Strigoi Master), но в последнее время группа сместилась в сторону злоупотребления легитимными инструментами. В описанной кампании роль «полезной нагрузки» выполняет NetSupport, коммерческое ПО для удаленного администрирования, которое в руках атакующих превращается в RAT и дает полный контроль над зараженной машиной. Загрузчик маскирует установку, показывает пользователю фальшивые сообщения об ошибках, ограничивает число попыток запуска, затем скачивает компоненты NetSupport и добивается автозапуска, чтобы закрепиться в системе.
Отдельный акцент исследователи делают на инфраструктуре. Stan Ghouls регулярно меняет домены и поднимает новые узлы под конкретные кампании, из-за чего отслеживание упирается не только в анализ файлов, но и в постоянный мониторинг «свежих» сетевых артефактов. В ходе расследования были обнаружены новые домены, связанные с этой волной атак.
Еще одна любопытная деталь касается возможного интереса группы к IoT. На одном из доменов, который ранее всплывал в инфраструктуре Stan Ghouls, исследователи нашли набор файлов, относящихся к Mirai. Это может говорить о попытках расширить арсенал за счет IoT-вредоносов, но в отчете отдельно подчеркивается низкая уверенность: нельзя исключать, что инфраструктура могла быть разделена с другими атакующими, которые и разместили Mirai.
По мотивации картина тоже не абсолютно однозначная. Основные цели - финансы, промышленность и IT, поэтому наиболее вероятной выглядит финансовая заинтересованность. Но сам выбор инструментария, включая полноценные средства удаленного доступа, оставляет пространство и для сценариев кибершпионажа, особенно если заражение используется как долгий «доступ» к сети организации.
Группа Stan Ghouls, известная также как Bloody Wolf , как минимум с 2023 года ведет целевые атаки на организации в России, Кыргызстане, Казахстане и Узбекистане. В свежем исследовании Kaspersky подробно разобрала новую кампанию, которая прежде всего была нацелена на Узбекистан: аналитики насчитали около 50 пострадавших организаций, при этом атаки задели и Россию, где зафиксировано заражение примерно десяти устройств, а также отдельные случаи в Казахстане, Турции, Сербии и Беларуси, которые, вероятнее всего, оказались побочным эффектом рассылок.
Начинается все с адресного фишинга. Жертвам отправляют письма на местных языках с PDF-вложениями, оформленными как официальные документы. В одном из сценариев, описанных в отчете, письмо на узбекском имитирует уведомление суда и содержит безобидный одностраничный документ-приманку, а дальше пользователю подсовывают ссылку на загрузку JAR-файла и отдельно убеждают установить среду выполнения Java, якобы чтобы открыть «материалы дела». Именно этот подход и стал характерной чертой Stan Ghouls: вместо сложных эксплойтов злоумышленники делают ставку на социальную инженерию и собственные загрузчики на Java.
Раньше в их атаках чаще фигурировал STRRAT (его также называют Strigoi Master), но в последнее время группа сместилась в сторону злоупотребления легитимными инструментами. В описанной кампании роль «полезной нагрузки» выполняет NetSupport, коммерческое ПО для удаленного администрирования, которое в руках атакующих превращается в RAT и дает полный контроль над зараженной машиной. Загрузчик маскирует установку, показывает пользователю фальшивые сообщения об ошибках, ограничивает число попыток запуска, затем скачивает компоненты NetSupport и добивается автозапуска, чтобы закрепиться в системе.
Отдельный акцент исследователи делают на инфраструктуре. Stan Ghouls регулярно меняет домены и поднимает новые узлы под конкретные кампании, из-за чего отслеживание упирается не только в анализ файлов, но и в постоянный мониторинг «свежих» сетевых артефактов. В ходе расследования были обнаружены новые домены, связанные с этой волной атак.
Еще одна любопытная деталь касается возможного интереса группы к IoT. На одном из доменов, который ранее всплывал в инфраструктуре Stan Ghouls, исследователи нашли набор файлов, относящихся к Mirai. Это может говорить о попытках расширить арсенал за счет IoT-вредоносов, но в отчете отдельно подчеркивается низкая уверенность: нельзя исключать, что инфраструктура могла быть разделена с другими атакующими, которые и разместили Mirai.
По мотивации картина тоже не абсолютно однозначная. Основные цели - финансы, промышленность и IT, поэтому наиболее вероятной выглядит финансовая заинтересованность. Но сам выбор инструментария, включая полноценные средства удаленного доступа, оставляет пространство и для сценариев кибершпионажа, особенно если заражение используется как долгий «доступ» к сети организации.
- Источник новости
- www.securitylab.ru
