BI.ZONE сообщила о масштабной атаке киберпреступной группировки Bloody Wolf, в ходе которой было скомпрометировано не менее 400 организаций России и СНГ. Злоумышленники использовали легитимное программное обеспечение NetSupport, что позволило им обходить традиционные системы защиты.
Как проходила атака?
Bloody Wolf отправляла фишинговые письма, имитирующие уведомления от госорганов, при этом во вложениях содержались персональные данные жертв.
Вредоносные PDF-документы маскировались под решения о налоговых нарушениях, а внутри содержались ссылки на установку NetSupport.
Чтобы обойти системы безопасности, злоумышленники заменили троян STRRAT на легитимное ПО NetSupport, которое обычно не вызывает подозрений у антивирусов.
Вложения также включали инструкции по установке интерпретатора Java, необходимого для работы вредоносного кода.
Почему атака была успешной?
Точечная персонализация. Вместо массовых рассылок преступники использовали индивидуальные данные компаний, что увеличило доверие к письмам.
Использование легитимного ПО. NetSupport применяется в образовательных и корпоративных средах, но в России он не так популярен, как AnyDesk или «Ассистент», что снижает уровень настороженности.
Обход традиционных антивирусов. Поскольку NetSupport сам по себе не является вредоносным ПО, он не всегда детектируется как угроза.
Предыдущие атаки Bloody Wolf
Группировка уже атаковала организации Казахстана в 2023 году, рассылая поддельные письма от имени госрегуляторов. Тогда использовался троян STRRAT, который позволял:
- Выполнять удаленные команды,
- Управлять файлами,
- Получать доступ к системе.
Как защититься?
BI.ZONE рекомендует усилить кибербезопасность на уровне корпоративных сетей:
- Настроить защиту конечных точек (EDR), чтобы отслеживать подозрительную активность.
- Проверять электронные письма и вложения, особенно с юридической документацией.
- Ограничить запуск неизвестного ПО, включая программы удаленного администрирования.
- Проводить обучение сотрудников по выявлению фишинговых атак.
Эксперты подчеркивают: раннее обнаружение вторжения критично. Современные решения безопасности позволяют автоматически реагировать на подозрительные действия и предотвращать компрометацию компании.