Ключ к «успеху»: легитимный инструмент открыл злоумышленникам доступ к данным 400 компаний

Злоумышленники скомпрометировали не менее 400 организаций России и других стран СНГ при помощи легитимного средства удаленного доступа NetSupport

18 февраля 2025 г.

В декабре 2024 года специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика. Распространяя фишинговые письма с ПО для удаленного управления, злоумышленники получили доступ к IT-инфраструктурам как минимум 400 организаций. В своих атаках кластер достоверно имитировал уведомления от государственных органов, используя в фишинговых письмах данные жертв.

Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Bloody Wolf распространяла PDF-документы, замаскированные под решения о привлечении к ответственности за совершение налогового правонарушения. Кроме ссылок на вредоносные файлы, вложение содержало инструкции по установке интерпретатора Java, который необходим для работы ПО.

В новой кампании злоумышленники использовали NetSupport — программное обеспечение для удаленного управления, мониторинга, поддержки и обучения. Этот инструмент широко используется в образовательных учреждениях и корпоративной среде. При этом в российских организациях он не так популярен, как, например, AnyDesk или «Ассистент».

Это не первая кампания Bloody Wolf. В 2023 году злоумышленники атаковали организации Казахстана, рассылая жертвам фишинговые письма от имени регуляторов. Тогда кластер использовал коммерческий троян STRRAT, который позволял удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и т. д.

В атаках, подобных тем, которые проводила группировка Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз, такие как BI.ZONE EDR, помогут отследить атаку на ранних стадиях и оперативно отреагировать в автоматическом режиме либо с помощью команды кибербезопасности.

Ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз помогут порталы киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах, а также помогают обеспечить эффективную работу СЗИ.