19/02/25
Злоумышленники скомпрометировали не менее 400 организаций России и других стран СНГ при помощи легитимного средства удаленного доступа NetSupport. В своих атаках известный кластер достоверно имитировал уведомления от государственных органов, используя в фишинговых письмах данные жертв.
В декабре 2024 года специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество.
Bloody Wolf распространяла PDF-документы, замаскированные под решения о привлечении к ответственности за совершение налогового правонарушения. Кроме ссылок на вредоносные файлы, вложение содержало инструкции по установке интерпретатора Java, который необходим для работы ПО.
В новой кампании злоумышленники использовали NetSupport — программное обеспечение для удаленного управления, мониторинга, поддержки и обучения. Этот инструмент широко используется в образовательных учреждениях и корпоративной среде. При этом в российских организациях он не так популярен, как, например, AnyDesk или «Ассистент».
Это не первая кампания Bloody Wolf. В 2023 году злоумышленники атаковали организации Казахстана, рассылая жертвам фишинговые письма от имени регуляторов. Тогда кластер использовал коммерческий троян STRRAT, который позволял удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и т. д.
В атаках, подобных тем, которые проводила группировка Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз, такие как BI.ZONE EDR, помогут отследить атаку на ранних стадиях и оперативно отреагировать в автоматическом режиме либо с помощью команды кибербезопасности.
Ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз помогут порталы киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах, а также помогают обеспечить эффективную работу СЗИ.
