Творческий центр
  1. главный офицер безопасностиДом
  2. сбор разведданных

Bloody Wolf готовит отчет о кибератаках, выдающих себя за правительственные учреждения Центральной Азии

главный офицер безопасности сбор разведданных просмотров: 4651

Исследователи Group-IB заметили, как в июне 2025 года агент угроз под ником Bloody Wolf начал кампанию кибератак на Кыргызстан, направленную на доставку NetSupport RAT, а к началу октября 2025 года расширил масштаб атак на Узбекистан. Маскируясь под Министерство юстиции Кыргызстана, злоумышленники использовали официальные PDF-документы и домены, на которых, в свою очередь, размещались вредоносные файлы Java Archive (JAR), предназначенные для развертывания NetSupport RAT. Атака использует социальную инженерию и легкодоступные инструменты через фишинговые письма, чтобы обманом заставить получателей нажать на ссылку для загрузки вредоносного файла-загрузчика JAR и установки Java Runtime, который, в свою очередь, выполняет загрузчик для получения NetSupport RAT и установления персистентности. В атаку на Узбекистан также были добавлены ограничения по геозоне.

Оглавление

Краткое содержание

В условиях киберугроз 2025 года Центральная Азия все чаще становится центром бури, где пересекаются геополитика и кибершпионаж. Недавно в Центральную Азию прибыла группа под кодовым названиемКровавый волкПоследняя серия кибератак на страны Центральной Азии, такие как Кыргызстан и Узбекистан, была предпринята организацией, использующей весьма обманные методы. Организация использует весьма обманчивыесоциальная инженериясредства в качестве точки входа, использующие загрузчики на базе Java (JAR Loaders) для распространения старого инструмента удаленного управленияNetSupport RATКомпания успешно внедрилась в несколько государственных, финансовых и IT-секторов.

I. Накануне шторма кибератак: киберугрозы в Центральной Азии и появление "Кровавого волка

1.1 Центральная Азия: новая площадка для цифровых игр

В последние годы, с ускорением цифровой трансформации, страны Центральной Азии (особенно Казахстан, Кыргызстан и Узбекистан) приобретают все большее стратегическое значение в геополитике. Это сопровождается всплеском активности кибератак. Злоумышленники больше не ограничиваются традиционным чистым саботажем, а перешли к более коварным действиям, направленным на долгосрочную скрытность, кражу разведданных и проникновение в критически важные инфраструктуры. На этом фоне организация "Кровавый волк" как новая и активная угрожающая сила привлекает большое внимание со стороны таких организаций по безопасности, как Group-IB.

1.2 Портрет "Кровавого волка"

Кровавый Волк - неизвестный, но чрезвычайно активный центральноазиатскийхакерОрганизация. По данным разведки, организация действует по меньшей мере с конца 2023 года, и на начальном этапе ее деятельность была направлена в основном на организации в Казахстане и России, а в качестве обычных инструментов она использовала коммерческие вредоносные программы с открытым исходным кодом, такие как STRRAT и NetSupport.

В отличие от ведущих APT-организаций, которые разрабатывают собственные эксплойты нулевого дня, Bloody Wolf демонстрирует "низкозатратный, высокоэффективный" способ работы. Они специализируются на комбинировании общедоступных инструментов (Commodity Malware) с хорошо продуманными сценариями социальной инженерии для формирования высоко смертоносной цепочки атак. Эта "паразитическая" стратегия, применяемая поверх легальных инструментов и готового вредоносного ПО, не только снижает стоимость атаки, но и повышает сложность ее обнаружения, поскольку сигнатуры трафика часто путают с обычным поведением ИТ-менеджеров.

II. Начало охоты: сроки и цели атак

2.1 Сроки расширения

Согласно совместному отчету Group-IB и "Укук", государственного предприятия при Генеральной прокуратуре Кыргызстана, нынешний раунд нападений имел четкую временную фазу:

  • Июнь 2025 года: Впервые атаки были обнаружены в Кыргызстане. Злоумышленники начали интенсивно сбрасывать ложные цели, пытаясь закрепиться в ключевых секторах Кыргызстана.

  • Октябрь 2025 года: Масштабы атак значительно расширились, и новой главной жертвой стал Узбекистан. Это означает либо расширение возможностей организации, либо переориентацию стратегических целей стоящих за ней золотых дел мастеров/директоров.

2.2 Целевая аудитория: финансы, правительство и ИТ

Цели этой атаки были очень точными и сосредоточены на следующих трех областях:

  1. Государственный сектор (Government): Особенно это касается таких чувствительных секторов, как юстиция и иностранные дела. Доступ к внутренним правительственным документам, записям коммуникаций - главная цель шпионажа.

  2. Финансы: банки, платежные системы и небанковские финансовые учреждения. Это может свидетельствовать о том, что помимо кражи разведданных злоумышленники имеют скрытый финансовый интерес или намерение дестабилизировать финансовый сектор.

  3. Информационные технологии (ИТ): Поставщики ИТ-услуг и компании-разработчики программного обеспечения. Это типичная идея "атаки на цепочку поставок", при которой поставщик ИТ-услуг контролируется для проникновения к своим нижестоящим клиентам через доверенные каналы.

III. Техническая деконструкция: панорамный анализ цепочки атак на базе Java

Цепочка атак, организованная Bloody Wolf, использует готовые инструменты, но они собраны воедино очень сложным способом. Весь процесс атаки можно разделить на три основные фазы: первоначальный доступ, исполнение и сохранение, а также командование и управление (C2).

3.1 Первый визит: социальная инженерия в официальном облачении

Отправная точка атаки была тщательно продумана.колючий фишинг(Spear-Phishing) Почта.

  • Замаскируйте свою личность: Злоумышленники выдавали себя за Министерство юстиции (Минюст) или другое доверенное государственное учреждение в Кыргызстане. Для придания правдоподобия они использовали в качестве приманки PDF-документы очень официального вида, а в своих письмах применяли поддельные доменные имена (Typosquatting), очень похожие на официальные доменные имена.

  • Психологическое манипулирование: Содержание письма часто создает ощущение срочности или авторитетности, предлагая получателю ознакомиться с "важными документами", "судебными повестками" или "уведомлениями о соблюдении требований".

  • Технологические ловушки: Когда жертва открывает вложение в формате PDF или нажимает на ссылку в электронном письме, она не видит непосредственно содержимое файла, а вместо этого ее направляют на загрузку архивного файла Java (JAR).

3.2 Фаза реализации: смертельная Java-ловушка

Это наиболее техническая сторона атаки - использование популярности среды Java и инертности пользователей по отношению к "обновлениям ПО".

3.2.1 Механизм загрузчика JAR

JAR-файл, загруженный жертвой, на самом деле является вредоносным загрузчиком. Чтобы обманом заставить пользователя запустить файл, злоумышленник использует классический набор слов:

"Чтобы правильно просмотреть этот зашифрованный/защищенный документ, вам необходимо установить или обновить среду выполнения Java".

Этот обман (Social Engineering Lure) очень эффективен, потому что в корпоративной среде, где неспособность открыть файлы из-за проблем с версией программного обеспечения является нормой, сотрудники склонны следовать подсказкам, не задумываясь.

Как только пользователь дважды щелкнет и запустит этот JAR-файл (при условии, что среда Java установлена в системе или злоумышленник вызывает ее установку), вредоносный байткод Java начнет выполняться в виртуальной машине Java (JVM).

3.2.2 Java 8 и повторное использование старых технологий

Технический анализ показывает, что эти JAR-загрузчики построены на Java 8 (выпущена в марте 2014 года). Использование такой старой версии Java для создания вредоносного ПО не случайно, и причины могут быть следующими:

  1. Обеспечьте максимальную совместимость: Многие компании, особенно государственные учреждения, все еще используют старые Java-приложения для своих внутренних систем, поэтому Java 8 широко доступна в целевой среде.

  2. Уход от современного обнаружения: Некоторые современные средства EDR (Endpoint Detection and Response) могут быть более чувствительны к вредоносным поведенческим сигнатурам библиотек, основанных на последних версиях Java, в то время как в обнаружении старого кода могут быть "мертвые зоны".

  3. Генерация шаблонов: Исследователи подозревают, что злоумышленники использовали пользовательский генератор JAR (Builder) или шаблон. Это означает, что они могут быстро генерировать большое количество вариантов (полиморфизм), которые обходят сигнатурное антивирусное ПО путем изменения хэш-значения.

3.3 Основная полезная нагрузка: NetSupport RAT

После успешного запуска JAR-загрузчика он извлекает из контролируемой злоумышленником инфраструктуры (C2-сервера) следующий этап загрузки -NetSupport RAT.

3.3.1 Оружие NetSupport Manager

NetSupport Manager - это легальный и мощный коммерческий инструмент удаленного управления, широко используемый для корпоративной ИТ-поддержки. Однако из-за избыточного функционала (мониторинг экрана, передача файлов, удаленное выполнение команд, кейлоггинг и т. д.) он уже давно злоупотребляется хакерскими организациями и стал типичным программным обеспечением двойного назначения.

3.3.2 Археология версий: призрак 2013 года

Удивительно, но версия NetSupport RAT, использованная в этой атаке, датируется октябрем 2013 года. Почему злоумышленники любят программы 12-летней давности?

  • Стабильность: Старые версии прошли испытание временем, они стабильны и не включают обязательную проверку лицензии или функции облачной телеметрии, как новые версии, которые легче взломать и де-назвать (Cracked/Nulled).

  • Свобода от убийства: Многие современные программы безопасности по умолчанию доверяют цифровой подписи NetSupport или рассматривают его как "потенциально нежелательную программу" (PUP), а не как вредоносное ПО высокой степени опасности, что дает злоумышленникам возможность использовать его в своих целях.

IV. Глубокая стойкость и техника побега

Чтобы обеспечить постоянный контроль над хостом-жертвой и вернуть его в строй даже после перезагрузки системы, Bloody Wolf использует несколько механизмов сохранения.

4.1 Стратегия тройной стойкости

Технический анализ выявил три параллельных способа сохранения, которые обеспечили чрезвычайно высокий уровень выживаемости:

  1. Запланированная задача: Злоумышленники используют WindowsschtasksКоманда создает запланированное задание. Задача настраивается на автоматическое выполнение вредоносного скрипта в определенное время или когда система простаивает. Такой подход более скрытен, поскольку администраторы редко проверяют список запланированных задач на ежедневной основе.

  2. Ключ выполнения реестра: Классическое средство борьбы с настойчивостью. Атакующий, которыйHKCU\Software\Microsoft\Windows\CurrentVersion\Runили аналогичные пути для добавления значений ключей, указывающих на вредоносные JAR- или пакетные файлы. Как только пользователь входит в Windows, вредоносная программа запускается вместе с ним.

  3. Папка запуска (Startup Folder): Самый простой и грубый, но эффективный метод. Злоумышленник выпускает пакетный скрипт (.bat) в%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startupкаталог. Роль этого сценария обычно заключается в тихом запуске клиента NetSupport и подключении к C2.

4.2 Геозонирование: маркер для точных ударов

Во время атаки на Узбекистан исследователи заметили более сложную технику бегства - геозонирование.

4.2.1 Техническая реализация

Сервер злоумышленника настроен на правила фильтрации IP-адресов. Когда HTTP/HTTPS-запрос поступает на вредоносный сервер, он проверяет географическое положение IP-адреса источника запроса:

  • С территории Узбекистана: Сервер возвращает потоки загрузки вредоносных JAR-файлов или инструкции по их выполнению.

  • Извне Узбекистана (например, исследователи безопасности, среды "песочницы", сканеры): Сервер немедленно вернет HTTP 302 редирект, чтобы перенаправить запрос на легитимный сайт электронного правительства Узбекистана.data.egov.uz.

4.2.2 Стратегическое значение

Эта технология "геозонирования" имеет большое тактическое значение:

  • Контр-анализ: Аналитики безопасности по всему миру (например, компании, занимающиеся анализом угроз, расположенные в США или Европе), посетившие фишинговую ссылку напрямую, увидят только легитимные правительственные сайты и, таким образом, ошибочно сочтут ссылку безопасной.

  • Точность: Снижение риска воздействия на международные правоохранительные органы благодаря тому, что ресурсы атаки расходуются только на реальную цель, и исключение "случайного" нанесения вреда пользователям в других странах.

V. Проблемы защиты кибербезопасности в Центральной Азии от организации "Кровавый волк

5.1 Уязвимость цепочки доверия

В основе атак "Кровавого волка" лежит эксплуатация безоговорочного доверия населения и государственных служащих к "правительственной власти". Когда в электронном письме утверждается, что оно пришло от "Министерства юстиции" с приложением "секретных документов", бдительность жертвы часто пересиливает чувство паники или покорности. Такая эксплуатация человеческой природы - уязвимость, которую не может полностью блокировать ни один брандмауэр.

5.2 Незаконное использование законных инструментов (жизнь за счет земли)

Использование NetSupport RAT подтверждает популярность стратегии атак "Жизнь за счет земли" (LotL). Вместо того чтобы изощряться в написании сложных бэкдоров, злоумышленники используют легитимные инструменты управления. Это ставит перед защитниками сложную задачу: как отличить легитимный трафик NetSupport от вредоносного трафика C2, не нарушив при этом нормальную работу ИТ?

5.3 Долгосрочные болевые точки в среде Java

Природа Java как кроссплатформенного языка "напиши один раз, запусти везде" также используется разработчиками вредоносного ПО; файлы JAR - это, по сути, сжатые пакеты, которые могут легко обойти многие фильтры шлюзов, основанные на типе файлов (особенно если они замаскированы или обфусцированы). Кроме того, зависимость от старых версий Java в организации делает нецелесообразным полное удаление среды выполнения Java, оставляя постоянную поверхность для атак.

VI. Рекомендации по защите и меры по смягчению последствий

Перед лицом организации "Кровавый волк" и подобных ей угроз предприятиям и государственным учреждениям необходимо выстраивать глубокую защиту.

6.1 Технический уровень защиты

  1. Строго ограниченная среда выполнения Java:

    • Если бизнес не зависит от Java, ее следует полностью удалить.

    • Если вы должны использовать его, вам следует настроить правило ассоциации, запрещающее.jarФайл запускается непосредственно двойным щелчком (т.е. отменяется.jarвместе сjava.exeассоциации файлов, чтобы открывать их текстовым редактором, или заставить запускать только подписанные JAR с помощью политики).

    • управлениеjava.exeвозможноjavaw.exeИнициированные сетевые подключения, особенно к непостоянным портам или офшорным IP-адресам.

  2. Блокировка на сетевом уровне:

    • Блокирование МОК: Своевременное обновление базы данных разведки угроз и блокирование известных доменов C2 и IP-адресов организации "Кровавый волк".

    • Анализ протокола: Включите обнаружение функций протокола NetSupport на брандмауэре или IDS. Легитимный трафик NetSupport обычно имеет фиксированный порт или сигнатуру рукопожатия, а аномальный трафик должен блокироваться.

    • Географическое блокирование: Для правительственных организаций, работающих только в определенных странах, можно рассмотреть возможность ограничения доступа к IP-адресам, не связанным с этой страной, но это не защитит от целенаправленных атак на эту страну.

  3. Оптимизация защиты конечных точек (EDR):

    • Отслеживайте записи запуска реестра (Запускайте клавиши) и операции записи в папку запуска.

    • Поведенческий перехват ненормальных подпроцессов, генерируемых Powershell, CMD и WScript (например, вызовов Java).

    • Отмечайте и помещайте в карантин старые версии инструментов удаленного управления (например, NetSupport 2013).

6.2 Управление процессами и людьми

  1. Обучение по вопросам безопасности:

    • Регулярно проводятся целевые фишинговые учения, в ходе которых моделируются сценарии, в которых выдают себя за представителей таких органов власти, как Министерство юстиции и Налоговое управление.

    • Обучайте сотрудников:Никогда.Устанавливайте любое программное обеспечение или обновления из-за запроса по электронной почте, обновления программного обеспечения должны распространяться равномерно через ИТ-отдел.

  2. Принцип наименьших привилегий:

    • Учетные записи обычных сотрудников не должны иметь разрешения на установку программного обеспечения. Даже если они загрузят вредоносный JAR, если у них нет разрешения на изменение системного реестра или каталога установки, возможности злоумышленника будут значительно ограничены.

VII. Заключение

Экспансия организации Bloody Wolf в Центральную Азию - это микрокосм современных региональных APT-атак. Им не нужны высококлассные хакерские навыки; они могут разрушить оборону в противостоянии на уровне стран, обладая лишь точным пониманием психики цели и ловким сочетанием устаревших приемов.

Этот случай - напоминание о том, что кибербезопасность - это не только битва кодов, но и игра психологии и восприятия. Для организаций в Центральной Азии и по всему миру защита заключается не только в установке дорогостоящего оборудования, но и в устранении самого слабого звена - человека - и создании потенциала для динамического контроля за "незаконным использованием законных инструментов". По мере изменения геополитической ситуации подобные "недорогие и высокодоходные" атаки будут только усиливаться в будущем.

Приложение: Индикатор угрозы (IOC)

Примечание: Ниже приведены только типы функций, обобщенные из описаний разведки, конкретные хэши и имена доменов см. в официальном отчете Group-IB.

  • Тип документа: .jar, .pdf (содержащие вредоносные ссылки). .bat

  • Семейство вредоносных программ: NetSupport Manager (v2013), Java Loader

  • Путь постоянства:

    • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\*.bat

    • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • Характеристики сети:

    • перенаправить data.egov.uz (для нецелевых IP)

    • Связь C2 использует частные протоколы NetSupport

 

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/bloody-wolf-expands-java-based-deliver-netsupport-rat.html.

Нравиться (0)
0 0

Об авторе

главный офицер безопасности

главный офицер безопасности

112 посты
4 комментарии
1 вопросы
3 ответы
4 последователи
Начальник службы безопасности (cncso.com)
Предыдущий 2 ноября 2025 пп11:31
Следующий 29 ноября 2025 дп10:44

связанное предложение

Добавить комментарий

Пожалуйста, войдите , чтоб прокомментировать