Поделиться
Технически продвинутая группировка хакеров атакует Россию и страны СНГ
Технически продвинутая кибергруппировка Stan Ghouls ведёт обширные кампании против десятков организаций в России и СНГ, предпочитая использовать местные языки.
Тщательно подготовленные атаки
Киберпреступная группа ведёт целенаправленные атаки против организаций в Российской Федерации, Кыргызстане, Казахстане и Узбекистане как минимум с 2023 г., - говорится в недавно опубликованном исследовании компании Kaspersky («Лаборатории Касперского»).
Злоумышленников интересуют преимущественно организации из сферы производства, финансов и информационных технологий. Атаки в Kaspersky охарактеризовали как тщательно подготовленные и адаптированные под конкретных жертв, причём создана целая инфраструктура с выделенными ресурсами для конкретных кампаний.
Группировку обозначили под условным названием Stan Ghouls. У других вендоров защитных средств эта группировка отслеживается под наименованием Bloody Wolf.
Последняя кампания, оказавшаяся в фокусе внимания исследователей Kaspersky, была нацелена на Узбекистан: там выявлено около 50 жертв.
Атаки также затронули примерно 10 устройств в Российской Федерации и еще несколько в Казахстане, Турции, Сербии и Беларуси. В публикации на SecureList заражения в последних трёх странах с высокой степени уверенности названы случайными.
«В рамках исследования мы выявили изменения в инфраструктуре атакующих, в частности новые домены. Мы также нашли признаки того, что группа Stan Ghouls могла добавить в свой арсенал вредоносное ПО для атак на системы интернета вещей (IoT)», - говорится в публикации.
Первоначальный вектор
Атаки начинаются с отправки потенциальным жертвам фишинговых писем с вредоносными PDF-вложениями, причём на локальных языках, иногда с дублированием на русском. Ссылки на разных языках ведут на разные домены, но с любой из них жертве скачивается один и тот же вредоносный файл с раширением JAR.
Всего эксперты Kaspersky выявили более 35 доменов, связанных со Stan Ghouls: её операторы часто меняют свою инфраструктуру, чтобы затруднить отслеживание.
Попав в систему, загрузчик выводит пользователю фальшивое сообщение об ошибке, чтобы заставить его поверить, что приложение не может быть запущено; проверяет количество предыдущих попыток установить вредонос для удалённого доступа (если их уже было три или более, выводится сообщение о «лимите попыток»); и, в конце концов, загружает с вредоносного домена утилиту удаленного управления. Как правило, загрузчики Stan Ghouls содержат информацию о нескольких доменах и пытаются установить соединение с каждым из них, пока не обнаружат первый рабочий в данный момент.
До прошлого года основным инструментом злоумышленников был троянец удаленного доступа (RAT) STRRAT, также известный как Strigoi Master. Однако затем они сменили стратегию и начали использовать легитимное программное обеспечение - NetSupport - в качестве средства управления зараженной машиной.
«Эта утилита не считается вредоносной сама по себе, поэтому её появление в системе не вызывает автоматической реакции у защитных инструментов, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Применение утилит Living-of-the-Land - давно известный и довольно популярный метод проведения кибератак, обычно свидетельствующий о том, что злоумышленники обладают технической подготовкой выше среднего».
Залп из основного калибра
Загрузчик скачивает сразу 21 файл, чьи названия жёстко прописаны в теле вредоносного загрузчика. Если всё проходит успешно, и файл client32.exe скачан, загрузчик создает скрипт запуска NetSupport (run.bat), помещает в папку, в которой расположены остальные файлы, и запускает его, а заодно добавляет NetSupport в автозапуск сразу тремя различными способами.
«После скачивания, установки и запуска NetSupport RAT злоумышленники получают полный контроль над машиной жертвы. У нас недостаточно данных телеметрии, чтобы утверждать наверняка, что именно они делают на зараженном устройстве. Тем не менее, поскольку к числу основных целей этой и других кампаний группы относятся организации, так или иначе связанные с финансовой сферой, мы предполагаем, что их интересует в первую очередь похищение денежных средств. При этом мы не можем утверждать, что злоумышленники не занимаются кибершпионажем», - пишут исследователи.
Помимо NetSupport RAT исследователи обнаружили в инфраструктуре злоумышленников файлы, связанные с хорошо известным вредоносом Mirai, нацеленным на устройства интернета вещей. Это дало основания полагать, что операторы начали использовать IoT-вредоносы в ходе своих атак. «На это косвенно может указывать тот факт, что регистрационная информация для этого домена последний раз обновлялась 4 июля 2025 года».
В публикации отмечается, что сам факт успешных атак на десятки разных учреждений свидетельствует об обширных ресурсах, которыми располагают злоумышленники.
Поделиться
Короткая ссылка
