Легитимный инструмент открыл злоумышленникам доступ к данным 400 компаний

В декабре 2024 года специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

- Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество.

Bloody Wolf распространяла PDF-документы, замаскированные под решения о привлечении к ответственности за совершение налогового правонарушения. Кроме ссылок на вредоносные файлы, вложение содержало инструкции по установке интерпретатора Java, который необходим для работы ПО.

В новой кампании злоумышленники использовали NetSupport — программное обеспечение для удаленного управления, мониторинга, поддержки и обучения. Этот инструмент широко используется в образовательных учреждениях и корпоративной среде. При этом в российских организациях он не так популярен, как, например, AnyDesk или «Ассистент».

Это не первая кампания Bloody Wolf. В 2023 году злоумышленники атаковали организации Казахстана, рассылая жертвам фишинговые письма от имени регуляторов. Тогда кластер использовал коммерческий троян STRRAT, который позволял удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и т. д.