Злоумышленники скомпрометировали не менее 400 организаций России и других стран СНГ при помощи легитимного средства удаленного доступа NetSupport, сообщает BI.ZONE во вторник.
В своих атаках известный кластер достоверно имитировал уведомления от государственных органов, используя в фишинговых письмах данные жертв.
В декабре 2024 года специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика.
Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество, говорится в сообщении.
Bloody Wolf распространяла PDF-документы, замаскированные под решения о привлечении к ответственности за совершение налогового правонарушения. Кроме ссылок на вредоносные файлы, вложение содержало инструкции по установке интерпретатора Java, который необходим для работы ПО.
В новой кампании злоумышленники использовали NetSupport — программное обеспечение для удалённого управления, мониторинга, поддержки и обучения. Этот инструмент широко используется в образовательных учреждениях и корпоративной среде. При этом в российских организациях он не так популярен, как, например, AnyDesk или «Ассистент».
Это не первая кампания Bloody Wolf. В 2023 году злоумышленники атаковали организации Казахстана, рассылая жертвам фишинговые письма от имени регуляторов. Тогда кластер использовал коммерческий троян STRRAT, который позволял удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и т.д.
В атаках, подобных тем, которые проводила группировка Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз помогут отследить атаку на ранних стадиях и оперативно отреагировать в автоматическом режиме либо с помощью команды кибербезопасности, говорится в сообщении.
