«Кровавые волки» в казахских сетях: кто станет следующей жертвой?

В Казахстане выявлена активность хакерской группы под названием Bloody Wolf, которая использует вредоносное ПО STRRAT (известное также как Strigoi Master) для атак на организации. Об этом сообщает компания по кибербезопасности BI.ZONE .

Атаки начинаются с фишинговых писем, которые выглядят как сообщения от Министерства финансов Республики Казахстан и других государственных ведомств. Эти письма содержат PDF -файлы, маскирующиеся под уведомления о несоответствии работы организации-жертвы различным требованиям.

Для придания атакам легитимности, одна из ссылок ведёт на веб-страницу, связанную с правительственным сайтом, призывающую установить Java для обеспечения работы портала. Однако вредоносное ПО STRRAT размещено на веб-сайте, лишь имитирующем официальный сайт правительства Казахстана (egov-kz[.]online).

Вредонос закрепляется в системе Windows с помощью изменения реестра и запускает JAR -файл каждые 30 минут. Копия этого файла также дублируется в папку автозагрузки Windows, чтобы обеспечивать автоматический запуск при перезагрузке системы.

После установки STRRAT соединяется с сервером Pastebin для кражи конфиденциальной информации с заражённого устройства. Среди похищенных данных — информация об операционной системе, установленном антивирусном ПО, а также учётные данные из Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook и Thunderbird.

Вредоносное ПО также может получать дополнительные команды с сервера для загрузки и выполнения новых вредоносных файлов, записи нажатий клавиш, выполнения команд через cmd.exe или PowerShell, перезапуска или выключения системы, установки прокси и самоуничтожения.

Использование JAR-файлов позволяет хакерам обходить многие защитные механизмы, а применение легитимных веб-сервисов, таких как Pastebin, для связи с заражённой системой помогает избегать обнаружения сетевыми решениями безопасности, отмечают в BI.ZONE.

В свете этих атак казахским организациям рекомендуется проявлять повышенную бдительность и усиливать меры кибербезопасности для предотвращения проникновения вредоносного ПО.