Bloody Wolfハッカーは、ウズベキスタンおよびロシアの企業に対してNetSupport RATを用いたスピアフィッシング攻撃を開始しました。同グループは製造、金融、IT分野を標的にし、カスタムJavaローダーを使用しています。
Stan Ghoulsは2023年から活動しており、ロシア、キルギス、カザフスタン、ウズベキスタンを攻撃してきました。直近の攻勢はウズベキスタンに焦点を当て、同国で約50人の被害者、ロシアで10人、さらにカザフスタン、トルコ、セルビア、ベラルーシで数人が、おそらく巻き添え的に感染しました。
攻撃者はウズベク語などの現地語でメールを送り、裁判所からの通知を装います。サンプルメールでは「裁判所通知」および「再審申立て」について警告し、E-SUD_705306256_ljro_varaqasi.pdf(MD5: 7556e2f5a8f7d7531f28508f718cb83d)というPDF添付ファイルが含まれています。
このPDFはユーザーをだましてJava Runtimeのインストールを促し、その後、mysoliq-uz[.]comやmy-xb[.]comといったドメイン上にホストされた悪意のあるJARファイル(MD5: 95db93454ec1d581311c832122d21b20)へのリンクへ誘導します。
このローダーは「このアプリケーションはお使いのOSでは実行できません。」という偽のエラーを表示します。1台あたりのインストール試行回数を3回未満に制限し、その後、バックアップドメインからclient32.exe、PCICHEK.DLL、client32.iniなど、NetSupport RATのファイル20個をダウンロードします。
ダウンロード後、ローダーはRATを起動するためのrun.batを作成し、client32.exeの存在を確認したうえで、3つの方法で永続化を設定します。スタートアップフォルダのスクリプト(SoliqUZ_Run.bat)、レジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)、およびスケジュールタスク(schtasks /TN malicious /TR run.bat /SC ONLOGON)です。
これにより攻撃者は完全なリモート制御を得て、銀行からの資金窃取やスパイ活動に利用している可能性があります。以前はSTRRATを使用していましたが、現在は正規のNetSupportツールを悪用しており、ドメインを頻繁に更新しています(これまでに35以上が関連付けられています)。
被害者は製造、金融、IT、政府、物流、医療、学校にまたがり、合計60以上にのぼります。これは、手動操作のための相当なリソースがあることを示しています。カスペルスキーは、一致するJavaコード断片、同一のデコイPDF、そして希少なJavaローダーを根拠に、これをBloody Wolfに関連付けています。
防御策として、PDFをスキャンし、信頼できないリンクからのJavaの実行をブロックし、NetSupport関連ファイル、自動実行の変更、不審なタスクを監視してください。インフラ検知を更新し、EDRツールを使用します。カスペルスキー製品は全段階をブロックします。
この潤沢なリソースを持つグループはフィッシングに注力しつつもツールを進化させ続けており、CIS地域における現地語での警戒を強く求めています。
翻訳元: https://cyberpress.org/bloody-wolf-deploys-netsupport/