Эволюция Bloody Wolf: новые цели, новые средства атаки
BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Bloody Wolf. Если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь они перешли на легитимное средство удаленного администрирования NetSupport. Более того, ретроспективный анализ кампаний позволил установить, что атакам подверглись организации не только на территории Казахстана, но и в России. В ходе последней кампании злоумышленники успешно скомпрометировали более 400 систем.
- Стремление злоумышленников заменить используемое вредоносное ПО на легитимное обусловлено желанием минимизировать возможности их обнаружения традиционными средствами защиты.
- Возможности удаленной работы поддерживают распространение ПО для удаленного администрирования: злоумышленники могут использовать уже установленные в системе средства и инсталлировать собственные.
- Легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции.
В декабре 2024 года специалисты BI.ZONE Threat Intelligence обнаружили кампанию Bloody Wolf, нацеленную на организации в Казахстане. Как и прежде, злоумышленники распространяли документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма.
Пример документа, распространяемого злоумышленниками
Такие документы содержали фишинговые ссылки, по которым жертва могла загрузить вредоносный файл JAR — NCALayerUpdatedRU.jar.
Этот файл представляет собой загрузчик, который осуществляет следующие действия:
- Проверяет существование папки
%APPDATA%\NCALayerUpdated, а если она отсутствует, создает ее. - Получает по ссылке hxxps://pastebin[.]com/raw/pruy96p1 список ссылок для загрузки компонентов ПО NetSupport.
- Загружает компоненты ПО NetSupport в папку
%APPDATA%\NCALayerUpdated. - Запускает загруженный файл
%APPDATA%\NCALayerUpdated\update.bat. - Запускает загруженный файл
%APPDATA%\NCALayerUpdated\run.bat. - Отправляет в телеграм-чат имя скомпрометированной системы.
Декомпилированный код метода getFileUrlsFromPastebin
Декомпилированный код метода downloadFile
Декомпилированный код метода sendTelegramMessage
При этом файл update.bat осуществляет запуск клиента NetSupport, а run.bat обеспечивает его персистентность в скомпрометированной системе.
Содержимое файла run.bat
В данной кампании кластер Bloody Wolf использовал клиент NetSupport версии 11.42.
NetSupport — ПО для удаленного управления, мониторинга, поддержки и обучения. Система используется в образовательных учреждениях для удаленного обучения и в IT-департаментах компаний.
Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации.
Как и в случае с Казахстаном, злоумышленники использовали фишинговые электронные письма для распространения документов PDF.
Фишинговое письмо
В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под решение о привлечении к ответственности за совершение налогового правонарушения.
Документ, содержащий фишинговые ссылки, который был прикреплен к письму
Как и в описанной выше кампании, фишинговые ссылки вели на вредоносный файл JAR, например ReshenieJCP.jar. Файл представляет собой загрузчик, который осуществляет следующие действия:
- Проверяет существование папки
%APPDATA%\CryptoProJCP, а если она отсутствует, создает ее. - Получает по ссылке hxxps://pastebin[.]com/raw/hLUWEXTH список ссылок для загрузки компонентов ПО NetSupport.
- Загружает компоненты ПО NetSupport в папку
%APPDATA%\CryptoProJCP. - Запускает файл
%APPDATA%\CryptoProJCP\update.bat. - Запускает файл
%APPDATA%\CryptoProJCP\run.bat. - Отправляет в телеграм-чат имя скомпрометированной системы.
Таким образом, процесс компрометации системы практически не отличается от того, который был описан выше.
473596b2f09910b0484bac76190de4868b7d4ac756c46c102dc3bd91609d239e10cd57a425b72d4f21c8f88b5d4033fad4477dd147cdf13b013f6391168c63bbb2c776a9554e2919f7a7e287f2954674fc5dbd6a10f342558ad98b606d6640756ae7b754e74a6aa9f803037a8252cf5acfe5b8e8d82ae4b9b9a38826c4586702salyk-notofocations[.]com1994Collective[.]com1994Collective13[.]comyessenov[.]comozhet[.]comkazsrv[.]online
Больше индикаторов компрометации, а также информация о других кампаниях и профиль кластера Bloody Wolf доступны на портале BI.ZONE Threat Intelligence.
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Bloody Wolf использует вложения в фишинговые электронные письма для доставки ВПО |
| Execution |
Command and Scripting Interpreter |
Bloody Wolf использует вредоносные загрузчики на Java, которые доставляются в целевую систему в виде исполняемых JAR-файлов |
|
Command and Scripting Interpreter: Windows Command Shell |
Bloody Wolf использует Batch-скрипт |
|
|
User Execution: Malicious File |
Bloody Wolf убеждает жертву установить Java и запустить вредоносный JAR‑файл, чтобы инициировать процесс компрометации системы |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Bloody Wolf использует Batch-скрипт |
| Defense Evasion |
Masquerading |
Bloody Wolf использует в названиях вредоносных JAR-файлов и созданных каталогов наименования легитимного ПО NCALayer и CryptoPro JCP |
| Discovery |
System Information Discovery |
Bloody Wolf использует Java-загрузчик для получения имени компьютера жертвы |
| Command and Control |
Application Layer Protocol: Web Protocols |
Bloody Wolf использует протокол HTTPS для загрузки вредоносных JAR-файлов Bloody Wolf использует протокол HTTPS для коммуникации с управляющим сервером NetSupport |
|
Ingress Tool Transfer |
Bloody Wolf использует Java-загрузчик для скачивания ПО NetSupport и Batch-скриптов с сервера |
|
|
Remote Access Software |
Bloody Wolf использует ПО NetSupport для удаленного доступа к скомпрометированной системе |
|
|
Web Service: Dead Drop Resolver |
Bloody Wolf размещает ссылки для загрузки ПО NetSupport и Batch-скриптов на pastebin[.]com |
|
|
Web Service: One-Way Communication |
Bloody Wolf использует Telegram для отправки имени компьютера жертвы |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_access_to_paste_services_from_nonbrowserswin_netsupport_client_detected
В атаках, подобных тем, которые реализовывал кластер Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя нейтрализовать угрозу. Поэтому мы рекомендуем внедрять решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. Такой продукт поможет отследить атаку на ранних стадиях, оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности.
Чтобы быть на шаг впереди злоумышленников, важно понимать, как они адаптируют свои методы под конкретные инфраструктуры, и учитывать ландшафт киберугроз. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз.