Kreativzentrum
  1. SicherheitschefStartseite
  2. Erfassen von Informationen

Bloody Wolf organisiert Bericht über Cyberattacken, die sich als zentralasiatische Regierungsbehörden ausgeben

Sicherheitschef - - Erfassen von Informationen - 4649 Ansichten

Forscher der Group-IB beobachteten, dass ein Bedrohungsakteur namens Bloody Wolf ab Juni 2025 eine Cyberangriffskampagne gegen Kirgisistan startete, die auf die Bereitstellung des NetSupport RAT abzielte, und Anfang Oktober 2025 den Umfang seiner Angriffe auf Usbekistan ausweitete. Die Angreifer gaben sich als kirgisisches Justizministerium aus und nutzten offiziell aussehende PDF-Dokumente und Domains, die wiederum bösartige Java-Archivdateien (JAR) enthielten, mit denen das NetSupport RAT installiert werden sollte. Der Angriff nutzt Social Engineering und leicht zugängliche Tools über Phishing-E-Mails, um die Empfänger dazu zu bringen, auf einen Link zu klicken, um eine bösartige JAR-Loader-Datei herunterzuladen und die Java Runtime zu installieren, die wiederum den Loader ausführt, um das NetSupport RAT zu erhalten und die Persistenz herzustellen. Bei dem Angriff auf Usbekistan wurden auch Geofencing-Einschränkungen hinzugefügt.

Abstracts

In der Cyber-Bedrohungslage des Jahres 2025 wird Zentralasien zunehmend zum Auge des Sturms, in dem sich Geopolitik und Cyber-Spionage überschneiden. Kürzlich wurde der Code-NameBlutiger WolfDie jüngste Runde von Cyberangriffen gegen zentralasiatische Länder wie Kirgisistan und Usbekistan wurde von einer Bedrohungsorganisation gestartet, die auf äußerst betrügerischen Methoden beruht. Die Organisation verwendet eine äußerst betrügerischeSocial Engineeringals Einstiegspunkt, wobei Java-basierte Loader (JAR Loader) verwendet werden, um das alte Remote-Management-Tool zu verteilenNetSupport RATDas Unternehmen ist erfolgreich in verschiedene Regierungs-, Finanz- und IT-Bereiche vorgedrungen.

I. Am Vorabend des Sturms der Cyberangriffe: Die Cyberbedrohungslage in Zentralasien und der Aufstieg von Bloody Wolf

1.1 Zentralasien: der neue Höhepunkt für digitale Spiele

In den letzten Jahren haben die zentralasiatischen Länder (insbesondere Kasachstan, Kirgisistan und Usbekistan) mit der Beschleunigung des digitalen Wandels zunehmend an geopolitischer Bedeutung gewonnen. Dies ging mit einem Anstieg der Cyberangriffe einher. Die Angreifer beschränken sich nicht mehr auf die traditionelle reine Sabotage, sondern haben sich auf heimtückischere, langfristige Lauschangriffe, den Diebstahl von Informationen und die Infiltration kritischer Infrastrukturen verlegt. Vor diesem Hintergrund hat die Organisation Bloody Wolf als aufstrebende und aktive Bedrohung viel Aufmerksamkeit von Sicherheitsorganisationen wie Group-IB auf sich gezogen.

1.2 Porträt "Blutiger Wolf"

Bloody Wolf ist ein nicht identifizierter, aber äußerst aktiver zentralasiatischerHacker (Informatik) (Lehnwort)Organisation. Geheimdienstinformationen deuten darauf hin, dass die Organisation mindestens seit Ende 2023 aktiv ist und in ihrer Anfangszeit vor allem Einrichtungen in Kasachstan und Russland ins Visier nahm, wobei kommerzielle oder Open-Source-Malware wie STRRAT und NetSupport als übliche Werkzeuge eingesetzt wurden.

Im Gegensatz zu den führenden APT-Organisationen, die ihre eigenen Zero-Day-Exploits entwickelt haben, hat Bloody Wolf eine "kostengünstige, hocheffiziente" Arbeitsweise gezeigt. Sie haben sich darauf spezialisiert, öffentlich verfügbare Tools (Commodity Malware) mit gut durchdachten Social-Engineering-Skripten zu kombinieren, um eine äußerst tödliche Angriffskette zu bilden. Diese "parasitäre" Strategie, die auf legitime Tools und handelsübliche Malware aufgesetzt wird, senkt nicht nur die Kosten des Angriffs, sondern erhöht auch die Schwierigkeit der Entdeckung durch die Sicherheitsbehörden, da die Signaturen des Datenverkehrs häufig mit dem normalen Verhalten der IT-Verwaltung verwechselt werden.

II. Beginn der Jagd: Zeitplan und Ziele der Angriffe

2.1 Zeitleiste der Expansion

Laut einem gemeinsamen Bericht von Group-IB und Ukuk, einem staatlichen Unternehmen, das dem Büro des Generalstaatsanwalts von Kirgisistan untersteht, hatte die aktuelle Runde von Anschlägen eine klare zeitliche Abfolge:

  • Juni 2025: Zum ersten Mal wurden Angriffe in Kirgisistan entdeckt. Die Angreifer begannen intensiv mit dem Abwurf von Täuschkörpern, um in Schlüsselbereichen Kirgisistans Fuß zu fassen.

  • Oktober 2025: Der Umfang der Angriffe hat sich erheblich ausgeweitet, wobei Usbekistan zum neuen Hauptopfer wurde. Dies bedeutet entweder eine Ausweitung der Fähigkeiten der Organisation oder eine Neuausrichtung der strategischen Ziele der dahinter stehenden Goldmasters/Direktoren.

2.2 Zielgruppen: Finanzen, Verwaltung und IT

Das Ziel dieses Angriffs war sehr präzise und konzentrierte sich auf die folgenden drei Bereiche:

  1. Der staatliche Sektor (Regierung): Dies gilt insbesondere für sensible Bereiche wie Justiz und Außenpolitik. Das Hauptziel der Spionage ist der Zugang zu internen Regierungsdokumenten und Kommunikationsunterlagen.

  2. Finanzen: Banken, Zahlungssysteme und Nicht-Bank-Finanzinstitute. Dies könnte darauf hindeuten, dass die Angreifer neben dem Diebstahl von Geheimdienstinformationen auch ein finanzielles Interesse verfolgen oder die Absicht haben, den Finanzsektor zu destabilisieren.

  3. Informationstechnologie (IT): IT-Dienstleister und Softwareunternehmen. Dies ist ein typischer "Angriff auf die Lieferkette", bei dem der IT-Dienstleister kontrolliert wird, um seine nachgelagerten Kunden über vertrauenswürdige Kanäle zu infiltrieren.

III. technische Dekonstruktion: Eine umfassende Analyse der Java-basierten Angriffskette

Die von Bloody Wolf organisierte Angriffskette verwendet handelsübliche Tools, die jedoch auf sehr ausgeklügelte Weise zusammengesetzt sind. Der gesamte Angriffsprozess kann in drei Hauptphasen unterteilt werden: Erstzugang, Ausführung und Persistenz sowie Befehl und Kontrolle (C2).

3.1 Erster Besuch: Social Engineering im offiziellen Gewand

Der Ausgangspunkt des Angriffs wurde sorgfältig ausgearbeitetSpear-Phishing(Spear-Phishing) Mail.

  • Verschleiern Sie Ihre Identität: Die Angreifer gaben sich als Justizministerium (MoJ) oder eine andere vertrauenswürdige Regierungsbehörde in Kirgisistan aus. Um ihre Glaubwürdigkeit zu erhöhen, verwendeten sie sehr förmlich aussehende PDF-Dokumente als Köder und nutzten in ihren E-Mails gefälschte Domänennamen (Typosquatting), die offiziellen Domänennamen sehr ähnlich waren.

  • Psychologische Manipulation: Der Inhalt der E-Mail erweckt oft den Eindruck von Dringlichkeit oder Autorität, indem der Empfänger aufgefordert wird, "wichtige Dokumente", "gerichtliche Vorladungen" oder "Mitteilungen zur Einhaltung von Vorschriften" einzusehen.

  • Technologische Fallen: Wenn ein Opfer einen PDF-Anhang öffnet oder auf einen Link in einer E-Mail klickt, sieht es den Inhalt der Datei nicht direkt, sondern wird stattdessen zum Download einer Java-Archivdatei (JAR) geleitet.

3.2 Umsetzungsphase: Tödliche Java-Falle

Dies ist der technischste Aspekt des Angriffs - die Ausnutzung der Popularität der Java-Umgebung und der Trägheit der Benutzer gegenüber "Software-Updates".

3.2.1 JAR-Lademechanismus

Die vom Opfer heruntergeladene JAR-Datei ist in Wirklichkeit ein bösartiger Loader. Um den Benutzer dazu zu bringen, die Datei auszuführen, verwendet der Angreifer eine klassische Wortfolge:

"Um dieses verschlüsselte/geschützte Dokument richtig anzeigen zu können, müssen Sie die Java-Laufzeitumgebung installieren oder aktualisieren."

Diese Täuschung (Social-Engineering-Köder) ist sehr effektiv, denn in Unternehmensumgebungen, in denen es die Regel ist, dass Dateien aufgrund von Softwareversionsproblemen nicht geöffnet werden können, neigen die Mitarbeiter dazu, den Aufforderungen ohne nachzudenken zu folgen.

Sobald der Benutzer auf diese JAR-Datei doppelklickt und sie ausführt (vorausgesetzt, die Java-Umgebung ist auf dem System installiert oder der Angreifer veranlasst, dass sie installiert wird), wird der bösartige Java-Bytecode in der Java Virtual Machine (JVM) ausgeführt.

3.2.2 Java 8 und die Wiederverwendung älterer Technologien

Die technische Analyse zeigt, dass diese JAR-Loader auf Java 8 (veröffentlicht im März 2014) basieren. Die Verwendung einer so alten Java-Version für die Erstellung von Malware ist nicht zufällig, und die Gründe dafür können sein:

  1. Maximieren Sie die Kompatibilität: Viele Unternehmen, vor allem Behörden, nutzen noch ältere Java-Anwendungen für ihre internen Systeme, so dass Java 8 in der Zielumgebung weit verbreitet ist.

  2. Sich der modernen Entdeckung entziehen: Einige moderne EDR-Tools (Endpoint Detection and Response) sind möglicherweise empfindlicher für bösartige Verhaltenssignatur-Bibliotheken, die auf den neuesten Java-Versionen basieren, während es bei der Erkennung von älterem Code blinde Flecken geben kann.

  3. Erstellung von Vorlagen: Die Forscher vermuten, dass die Angreifer einen benutzerdefinierten JAR-Generator (Builder) oder eine Vorlage verwendet haben. Das bedeutet, dass sie schnell eine große Anzahl von Varianten (Polymorphismus) erzeugen können, die signaturbasierte Antivirensoftware durch Änderung des Hash-Werts umgehen.

3.3 Hauptnutzlast: NetSupport RAT

Nachdem der JAR-Loader erfolgreich gelaufen ist, holt er sich die nächste Stufe der Ladung von der vom Angreifer kontrollierten Infrastruktur (C2-Server) - dieNetSupport RAT.

3.3.1 Bewaffnung von NetSupport Manager

NetSupport Manager ist ein legitimes und leistungsstarkes kommerzielles Fernverwaltungsprogramm, das häufig für den IT-Support in Unternehmen eingesetzt wird. Aufgrund seiner übermächtigen Funktionen (einschließlich Bildschirmüberwachung, Dateiübertragung, Remote-Befehlsausführung, Keylogging usw.) wird es jedoch seit langem von Hackerorganisationen missbraucht und ist zu einer typischen Dual-Use-Software geworden.

3.3.2 Versionsarchäologie: das Gespenst des Jahres 2013

Überraschenderweise stammt die Version von NetSupport RAT, die bei diesem Angriff abgelegt wurde, aus dem Oktober 2013. Warum lieben die Angreifer eine 12 Jahre alte Software?

  • Stabilität: Ältere Versionen haben sich bewährt, sind stabil und enthalten keine obligatorische Lizenzvalidierung oder Cloud-Telemetriefunktionen wie neuere Versionen, die leichter zu knacken und zu de-named (geknackt/nullt) sind.

  • Freiheit vom Töten: Viele moderne Sicherheitsprogramme vertrauen standardmäßig der digitalen Signatur von NetSupport oder behandeln es als "potenziell unerwünschtes Programm" (PUP) und nicht als risikoreiche Malware, was Angreifern die Möglichkeit gibt, es auszunutzen.

IV. tiefe Persistenz und Fluchttechniken

Um die kontinuierliche Kontrolle über den Opfer-Host sicherzustellen und ihn auch nach einem Systemneustart wieder online zu bringen, setzt Bloody Wolf mehrere Persistenzmechanismen ein.

4.1 Dreifache Persistenzstrategie

Bei der technischen Analyse wurden drei parallele Methoden der Persistenz ermittelt, die extrem hohe Überlebensraten gewährleisten:

  1. Geplante Aufgabe: Angreifer nutzen die WindowsschtasksBefehl erstellt eine geplante Aufgabe. Die Aufgabe ist so konfiguriert, dass sie das bösartige Skript automatisch zu einem bestimmten Zeitpunkt oder bei Inaktivität des Systems ausführt. Dieser Ansatz ist unauffälliger, da die Administratoren die Liste der geplanten Aufgaben selten täglich überprüfen.

  2. Registry Run Key: Klassisches Mittel der Persistenz. Ein Angreifer, derHKCU\Software\Microsoft\Windows\AktuelleVersion\Runoder ähnliche Pfade, um Schlüsselwerte hinzuzufügen, die auf bösartige JAR- oder Batch-Dateien verweisen. Sobald sich der Benutzer bei Windows anmeldet, wird das bösartige Programm mit ihm gestartet.

  3. Startup Folder drop (Startup-Ordner): Die einfachste und plumpeste, aber effektive Methode. Ein Angreifer veröffentlicht ein Batch-Skript (.bat) in der%APPDATA%\Microsoft\Windows\Startmenü\Programme\StartupVerzeichnis. Die Aufgabe dieses Skripts besteht normalerweise darin, den NetSupport-Client im Hintergrund zu starten und eine Verbindung zu C2 herzustellen.

4.2 Geofencing: ein Marker für Präzisionsschläge

Während der Angriffsphase gegen Usbekistan beobachteten die Forscher eine ausgefeiltere Fluchttechnik - das Geo-Fencing.

4.2.1 Technische Umsetzung

Der Server des Angreifers ist mit IP-Filterregeln konfiguriert. Wenn eine HTTP/HTTPS-Anfrage auf dem böswilligen Server eingeht, prüft der Server den geografischen Standort der Quell-IP-Adresse der Anfrage:

  • Aus dem Gebiet von Usbekistan: Der Server sendet bösartige JAR-Dateidownloadströme oder Ausführungsanweisungen zurück.

  • Von außerhalb Usbekistans (z. B. von Sicherheitsforschern, Sandbox-Umgebungen, Scannern): Der Server sendet sofort eine HTTP 302-Umleitung zurück, um die Anfrage auf die legitime usbekische eGovernment-Website umzuleitendata.egov.uz.

4.2.2 Strategische Bedeutung

Diese "Geo-Fencing"-Technologie ist von großem taktischen Wert:

  • Gegenanalyse: Sicherheitsanalysten auf der ganzen Welt (z. B. in den USA oder Europa ansässige Threat Intelligence-Firmen), die einen Phishing-Link direkt aufrufen, sehen nur legitime Regierungswebsites und halten den Link daher fälschlicherweise für sicher.

  • Präzision: Verringern Sie das Risiko einer Aufdeckung durch internationale Strafverfolgungsbehörden, indem Sie sicherstellen, dass die Angriffsressourcen nur für das eigentliche Ziel verwendet werden, und vermeiden Sie, dass Benutzer in anderen Ländern "versehentlich" geschädigt werden.

V. Herausforderungen der Cybersicherheitsverteidigung in Zentralasien durch die Organisation Bloody Wolf

5.1 Anfälligkeit der Vertrauenskette

Im Mittelpunkt der "Bloody Wolf"-Angriffe steht die Ausnutzung des bedingungslosen Vertrauens der Öffentlichkeit und der Beamten in die "staatliche Autorität". Wenn eine E-Mail behauptet, sie stamme vom "Justizministerium" und enthalte "geheime Dokumente", wird die Wachsamkeit des Opfers oft von einem Gefühl der Panik oder des Gehorsams übermannt. Diese Ausnutzung der menschlichen Natur ist eine Schwachstelle, die keine Firewall vollständig blockieren kann.

5.2 Illegaler Missbrauch rechtmäßiger Instrumente (Leben vom Land)

Die Verwendung des NetSupport RAT bestätigt die Beliebtheit der "Living off the Land" (LotL) Angriffsstrategie. Anstatt sich die Mühe zu machen, komplexe Hintertüren zu schreiben, verwenden die Angreifer legitime Management-Tools. Dies stellt die Verteidiger vor eine große Herausforderung: Wie kann zwischen legitimem NetSupport-Datenverkehr und bösartigem C2-Datenverkehr unterschieden werden, ohne den normalen IT-Betrieb zu stören?

5.3 Langfristige Schmerzpunkte in der Java-Umgebung

Die Tatsache, dass Java eine plattformübergreifende Sprache ist, wird von Malware-Entwicklern ebenfalls ausgenutzt. JAR-Dateien sind im Wesentlichen komprimierte Pakete, die viele auf dem Dateityp basierende Gateway-Filter leicht umgehen können (insbesondere wenn sie getarnt oder verschleiert sind). Darüber hinaus ist es aufgrund der Abhängigkeit von älteren Java-Versionen innerhalb einer Organisation nicht möglich, die Java-Laufzeitumgebung vollständig zu entfernen, so dass eine permanente Angriffsfläche verbleibt.

VI. Empfehlungen zur Verteidigung und Maßnahmen zur Schadensbegrenzung

Angesichts der Bloody-Wolf-Organisation und ähnlicher Bedrohungen müssen Unternehmen und Behörden ihre Abwehrmaßnahmen ausbauen.

6.1 Technisches Niveau der Verteidigung

  1. Streng begrenzte Java-Laufzeitumgebung:

    • Wenn das Unternehmen nicht auf Java angewiesen ist, sollte es vollständig deinstalliert werden.

    • Wenn Sie es verwenden müssen, sollten Sie eine Zuordnungsregel konfigurieren, um die.jarDie Datei wird direkt durch einen Doppelklick ausgeführt (d.h. Aufhebung der.jarzusammen mitjava.exeDateizuordnungen, um sie stattdessen mit einem Texteditor zu öffnen, oder um über eine Richtlinie zu erzwingen, dass nur signierte JARs ausgeführt werden).

    • Kontrollejava.exevielleichtjavaw.exeInitiierte Netzwerkverbindungen, insbesondere zu nicht permanenten Ports oder Offshore-IPs.

  2. Sperrung auf Netzebene:

    • IOC-Blockierung: Rechtzeitige Aktualisierung der Bedrohungsdatenbank und Sperrung bekannter C2-Domänen und IPs der Organisation Bloody Wolf.

    • Protokollanalyse: Aktivieren Sie die Erkennung von NetSupport-Protokollfunktionen auf der Firewall oder dem IDS. Legitimer NetSupport-Verkehr hat in der Regel einen festen Port oder eine Handshake-Signatur, und anomaler Verkehr sollte blockiert werden.

    • Geografische Sperrung: Für Regierungsorganisationen, die nur in bestimmten Ländern tätig sind, kann erwogen werden, den Zugang zu IPs anderer Länder zu beschränken, aber das ist kein Schutz gegen gezielte Angriffe auf das Land.

  3. Optimierung des Endpunktschutzes (EDR):

    • Überwachen Sie die Starteinträge in der Registrierung (ausführen. Tasten) und Schreibvorgänge im Startordner.

    • Abfangen von abnormalen Unterprozessen, die von Powershell, CMD und WScript generiert werden (z. B. Aufrufe an Java).

    • Markieren und isolieren Sie ältere Versionen von Fernverwaltungstools (z. B. NetSupport 2013).

6.2 Prozess- und Personalmanagement

  1. Schulungen zum Sicherheitsbewusstsein:

    • Regelmäßig werden gezielte Phishing-Übungen durchgeführt, bei denen Szenarien simuliert werden, in denen sich Behörden wie das Justizministerium oder die Steuerverwaltung als solche ausgeben.

    • Schulung der Mitarbeiter:Niemals.Installieren Sie keine Software oder Updates aufgrund einer E-Mail-Aufforderung. Software-Updates sollten einheitlich über die IT-Abteilung verteilt werden.

  2. Der Grundsatz des geringsten Privilegs:

    • Normale Mitarbeiterkonten sollten keine Berechtigung zur Installation von Software haben. Selbst wenn sie eine bösartige JAR-Datei herunterladen, haben sie keine Berechtigung, die Registrierung auf Systemebene oder das Installationsverzeichnis zu ändern, was die Möglichkeiten des Angreifers, sich zu behaupten, stark einschränkt.

VII. Schlussfolgerung

Die Expansionsoperationen der Organisation Bloody Wolf in Zentralasien sind ein Mikrokosmos der heutigen regionalen APT-Angriffe. Sie brauchen keine erstklassigen Hacking-Fähigkeiten; sie können die Abwehrkräfte in einer Konfrontation auf nationaler Ebene mit einem genauen Verständnis der Psychologie des Ziels und einer cleveren Kombination veralteter Techniken ausschalten.

Dieser Fall erinnert daran, dass Cybersicherheit nicht nur ein Kampf der Codes ist, sondern auch ein Spiel der Psychologie und der Wahrnehmung. Für Organisationen in Zentralasien und auf der ganzen Welt liegt der Schwerpunkt der Verteidigung nicht nur auf dem Einsatz teurer Sicherheitsausrüstung, sondern auch auf der Behebung des schwächsten Glieds - dem Menschen - und dem Aufbau von Kapazitäten zur dynamischen Überwachung der "illegalen Nutzung legitimer Werkzeuge". Da die geopolitische Lage schwankt, werden ähnliche "kostengünstige, ertragreiche" Angriffe in Zukunft nur zunehmen.

Anhang: Bedrohungsindikator (IOC) Referenz

Hinweis: Die folgenden Angaben sind lediglich eine Zusammenfassung von Merkmalstypen aus den Beschreibungen der Nachrichtendienste; spezifische Hashes und Domänennamen sind dem offiziellen Bericht der Group-IB zu entnehmen.

  • Dokumenttyp: .jar, .pdf (mit bösartigen Links). .bat

  • Malware-Familie: NetSupport Manager (v2013), Java Loader

  • Persistenz Pfad:

    • %APPDATA%\Microsoft\Windows\Startmenü\Programme\Startup\*.bat

    • HKCU\Software\Microsoft\Windows\AktuelleVersion\Run

  • Netzmerkmale:

    • umleiten data.egov.uz (für nicht zielgerichtete IPs)

    • C2-Kommunikation verwendet private NetSupport-Protokolle

 

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://www.cncso.com/de/bloody-wolf-expands-java-based-deliver-netsupport-rat.html

Wie (0)
0 0

Über den Autor.

Sicherheitschef

Sicherheitschef

112 Beiträge
4 Kommentare
1 Fragen
3 antwortet
4 Anhänger
Verantwortlicher für die Sicherheit (cncso.com)
Vorherige 2. November 2025 p.m.11:31
Weiter 29. November 2025 vormittags 10:44

Empfohlen

Eine Antwort hinterlassen

Bitte Login zum Kommentieren