Специалисты BI.ZONE Threat Intelligence зафиксировали активность группировки Bloody Wolf в декабре 2024 года. В числе пострадавших оказались компании из финансового сектора, ретейла, IT, транспорта и логистики. Это не первая атака Bloody Wolf. В 2023 году группировка атаковала организации в Казахстане, рассылая фишинговые письма якобы от регуляторов. Тогда использовался троян STRRAT, позволявший удалённо управлять заражёнными устройствами.
Киберпреступники атаковали как минимум 400 организаций России и стран СНГ, используя легитимный инструмент удаленного доступа NetSupport. Вредоносная кампания проходила под видом официальных уведомлений от государственных органов — в фишинговых письмах содержались персонализированные данные жертв.Олег Скулкин
Руководитель BI.ZONE Threat Intelligence
«Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество».
Злоумышленники маскировали вредоносные файлы под решения о налоговых нарушениях. Вложенные документы содержали не только ссылки на заражённые ресурсы, но и инструкции по установке интерпретатора Java, необходимого для работы NetSupport. Хотя NetSupport широко применяется в компаниях, в России он уступает по популярности AnyDesk и «Ассистенту». Однако это не остановило злоумышленников.
Чтобы предотвратить атаки с использованием легитимного ПО, эксперты BI.ZONE рекомендуют:
использовать решения класса EDR для выявления подозрительной активности на ранних стадиях;
проверять письма от государственных органов через официальные источники;
не скачивать вложения и не переходить по ссылкам из неожиданных писем, даже если они выглядят правдоподобно.
Источник новости: habr.com
