被称为 Bloody Wolf 的威胁行为者被确认参与了一场针对乌兹别克斯坦和俄罗斯的攻击行动,旨在使用名为 NetSupport RAT 的远程访问木马感染系统。
网络安全供应商 Kaspersky 以 Stan Ghouls 为代号追踪此次活动。据知,该威胁行为者至少自 2023 年以来一直活跃,针对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和 IT 行业组织鱼叉式钓鱼攻击。
据估计,此次行动已导致乌兹别克斯坦约 50 名受害者受损,俄罗斯也有 10 台设备受到影响。在哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了其他感染案例,但程度较轻。政府组织、物流公司、医疗机构和教育机构的设备上也记录到了感染企图。
Kaspersky 指出:“鉴于 Stan Ghouls 以金融机构为目标,我们认为其主要动机是经济利益。也就是说,他们大量使用远程访问木马也可能暗示其进行网络间谍活动。”
滥用 NetSupport(一款合法的远程管理工具)对该威胁行为者而言是一种转变,其先前在攻击中利用的是 STRRAT(又名 Strigoi Master)。2025年11月,Group-IB 记录了针对吉尔吉斯斯坦实体以分发该工具的钓鱼攻击。
攻击链相当直接,即使用携带恶意 PDF 附件的钓鱼邮件作为触发感染的跳板。PDF 文档中嵌有链接,点击后会下载一个执行多项任务的恶意加载器:
· 显示虚假错误信息,让受害者误以为应用程序无法在其计算机上运行。
· 检查此前的远程访问木马安装尝试次数是否少于三次。
· 若次数达到或超过限制,加载器会抛出错误信息:“尝试次数已达上限。请尝试另一台计算机。”
· 从多个外部域名之一下载 NetSupport 远程访问木马并启动它。
· 通过以下方式确保 NetSupport 远程访问木马的持久性:在启动文件夹中配置自启动脚本,在注册表的自启动项中添加 NetSupport 启动脚本 (“run.bat”),并创建一个计划任务来触发执行同一个批处理脚本。
Kaspersky 表示,还在与 Bloody Wolf 相关的基础设施上发现了暂存的 Mirai 僵尸网络载荷,这增加了该威胁行为者可能已扩展其恶意软件库以针对物联网设备的可能性。
该公司总结道:“此次行动已攻击超过 60 个目标,对于一个复杂的定向攻击活动而言,数量非常庞大。这表明这些行为者愿意为其行动投入大量资源。”
此次披露恰逢多起针对俄罗斯组织的网络攻击活动,其中包括 ExCobalt 发起的攻击。ExCobalt 利用已知的安全漏洞和从承包商处窃取的凭证来获取对目标网络的初始访问权限。Positive Technologies 将该对手描述为攻击俄罗斯实体的“最危险组织”之一。
这些攻击的特点是使用各种工具,并试图从受感染的主机窃取 Telegram 凭证和消息历史记录,以及通过向登录页面注入恶意代码来窃取 Outlook Web Access 凭证:
· CobInt,该组织使用的已知后门。
· 勒索软件,如 Babuk 和 LockBit。
· PUMAKIT,一个用于提升权限、隐藏文件和目录、以及隐藏自身不被系统工具发现的内核级 Rootkit,其早期版本包括 Facefish(2021年2月)、Kitsune(2022年2月)和 Megatsune(2023年11月)。BI.ZONE 将 Kitsune 的使用与一个被称为 Sneaky Wolf(又名 Sneaking Leprechaun)的威胁集群联系起来。
· Octopus,一个基于 Rust 的工具包,用于在受感染的 Linux 系统中提升权限。
Positive Technologies 表示:“该组织改变了初始访问的策略,将关注重点从利用互联网上可访问的企业服务(例如 Microsoft Exchange)中的 1-day 漏洞,转移到通过承包商渗透主要目标的基础设施。”
俄罗斯的国家机构、科学企业和 IT 组织也成为了一个此前未知的、被称为 Punishing Owl 的威胁行为者的目标,该组织采取窃取数据并在暗网上泄露的手段。该组织疑似具有政治动机的黑客行动主义实体,自 2025 年 12 月以来一直活跃,其一个社交媒体账户由来自哈萨克斯坦的管理员操作。
攻击使用带有密码保护 ZIP 压缩包的钓鱼邮件,打开后内含一个伪装成 PDF 文档的 Windows 快捷方式(LNK)文件。打开 LNK 文件会导致执行 PowerShell 命令,从远程服务器下载一个名为 ZipWhisper 的窃密程序,以收集敏感数据并将其上传到同一服务器。
另一个将目标对准俄罗斯和白俄罗斯的威胁集群是 Vortex Werewolf。攻击的最终目标是部署 Tor 和 OpenSSH,以便于实现持久的远程访问。该活动此前于 2025 年 11 月由 Cyble 和 Seqrite Labs 曝光,后者称此活动为 Operation SkyCloak。
消息来源: thehackernews.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容