Группировка Bloody Wolf взломала не менее 400 организаций России и СНГ с помощью NetSupport - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
 Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Группировка Bloody Wolf взломала не менее 400 организаций России и СНГ с помощью NetSupport - «Новости»

✔Группировка Bloody Wolf взломала не менее 400 организаций России и СНГ с помощью NetSupport - «Новости»

20 февраля 2025 556 Новости / Ссылки 0

Эксперты компании BI.ZONE обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика. В этих атаках злоумышленники заменили коммерческий троян STRRAT на легитимное средство удаленного доступа NetSupport и смогли получить доступ к IT-инфраструктурам как минимум 400 организаций.


В декабре 2024 года специалисты обнаружили кампанию Bloody Wolf, нацеленную на организации в Казахстане. Как и раньше, злоумышленники рассылали фишинговые письма с документами PDF, замаскированными под предупреждения об устранении нарушений.


Такие документы содержали фишинговые ссылки, по которым жертва могла загрузить вредоносный файл JAR — NCALayerUpdatedRU.jar, представляющий собой загрузчик основной полезной нагрузки. В ее роли на этот раз выступал легитимный инструмент NetSupport версии 11.42, который закреплялся в зараженной системе с помощью файла run.bat, содержимое которого можно увидеть ниже.





Ретроспективный анализ активности группировки позволил обнаружить практически аналогичную кампанию, но уже нацеленную на российские организации. Как и в случае с Казахстаном, злоумышленники использовали фишинговые письма для распространения документов PDF, замаскированных, к примеру, под решения о привлечении к ответственности за совершение налогового правонарушения.





В данном случае загрузчик точно так же загружал в систему жертвы NetSupport, вместо привычной малвари  STRRAT, позволяющей удаленно выполнять команды на скомпрометированной машине, управлять файлами и так далее.


«Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компании BI.ZONE обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика. В этих атаках злоумышленники заменили коммерческий троян STRRAT на легитимное средство удаленного доступа NetSupport и смогли получить доступ к IT-инфраструктурам как минимум 400 организаций. В декабре 2024 года специалисты обнаружили кампанию Bloody Wolf, нацеленную на организации в Казахстане. Как и раньше, злоумышленники рассылали фишинговые письма с документами PDF, замаскированными под предупреждения об устранении нарушений. Такие документы содержали фишинговые ссылки, по которым жертва могла загрузить вредоносный файл JAR — NCALayerUpdatedRU.jar, представляющий собой загрузчик основной полезной нагрузки. В ее роли на этот раз выступал легитимный инструмент NetSupport версии 11.42, который закреплялся в зараженной системе с помощью файла run.bat, содержимое которого можно увидеть ниже. Ретроспективный анализ активности группировки позволил обнаружить практически аналогичную кампанию, но уже нацеленную на российские организации. Как и в случае с Казахстаном, злоумышленники использовали фишинговые письма для распространения документов PDF, замаскированных, к примеру, под решения о привлечении к ответственности за совершение налогового правонарушения. В данном случае загрузчик точно так же загружал в систему жертвы NetSupport, вместо привычной малвари STRRAT, позволяющей удаленно выполнять команды на скомпрометированной машине, управлять файлами и так далее. «Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: