Bloody Wolf расширяет атаки в Центральной Азии через поддельные документы министерств

Ключевой особенностью кампании стало использование изощренной социальной инженерии. Злоумышленники массово рассылают фишинговые письма, выдавая себя за представителей министерств юстиции соответствующих стран. Вложения содержат профессионально оформленные PDF-документы с официальной символикой и ссылками на «материалы дела». При этом в узбекистанской ветке кампании была обнаружена географическая привязка инфраструктуры: запросы из-за пределов страны перенаправлялись на легитимный правительственный сайт, тогда как локальные обращения инициировали загрузку вредоносных файлов.

Технический анализ показал, что группа использует специальный генератор Java-архивов (JAR) для создания многочисленных вариаций загрузчиков. Эти файлы, собранные на устаревшей Java 8, отличаются минимальным размером и отсутствием обфускации, что помогает избегать detection антивирусными решениями. После выполнения JAR-файл отображает фиктивное сообщение об ошибке, одновременно загружая компоненты легитимного инструмента удаленного администрирования NetSupport RAT.

Особого внимания заслуживает механизм обеспечения устойчивости. Злоумышленники одновременно используют три метода автозапуска: BAT-файл в папке автозагрузки, запись в реестр Windows и создание задачи в планировщике. Такой многоуровневый подход значительно осложняет очистку системы от вредоносных компонентов. При этом группа применяет устаревшую версию NetSupport Manager 2013 года, вероятно используя лицензии, найденные в открытых источниках.

Эксперты отмечают стратегический переход от классических вредоносных программ к легитимным инструментам администрирования. Данная тактика позволяет злоумышленникам эффективно маскироваться под легитную активность в корпоративных сетях. Более того, использование проверенного временем ПО снижает операционные расходы и упрощает разработку инструментария.

Аналитики подчеркивают, что Bloody Wolf демонстрирует высокую адаптивность и понимание региональных особенностей. Группа готовит фишинговые материалы на местных языках, хотя русский остается доминирующим. Такая гибкость свидетельствует о серьезной подготовке и долгосрочном планировании операций.

В качестве защитных мер специалисты рекомендуют предприятиям Центральной Азии ограничить выполнение JAR-файлов на рабочих станциях, внедрить системы защиты корпорачной почты и регулярно обучать сотрудников распознаванию фишинговых атак. Особое внимание следует уделить мониторингу неавторизованных установок программ удаленного доступа, включая NetSupport Manager.

Группа продолжает оставаться активной, и учитывая ее последовательную экспансию, можно ожидать новых кампаний в регионе. Организациям необходимо усилить кибергигиену и внедрить процедуры проверки подозрительных документов, даже поступающих из якобы официальных источников.

Domains

• ach-uz.com
• audit-kg.com
• esf-kg.com
• hgame33.com
• hisobot-uz.com
• minjust-kg.com
• nac-ac.com
• ravinads.com
• soliq-uz.com
• ttbbaits.com
• uzaudit.com

SHA256

• 07a191254362664b3993479a277199f7ea5ee723b6c25803914eedb50250acf4
• 07cb8339e7fff0e61f1374693a6ead52e55dd3efb20f3fc7a0ebe78426e5f41c
• 090103ff90780c10ef2ffa01c44982f63ee687e5c900ef368a45dede207ff8ec
• 0a6f173bb87d26221af673f0762264499bd606ce45049cd14035fa02290afe3e
• 0aade8a7b5072d6cbb0f600a0cba624689226dae5f3d7656f04757604c30d4f9
• 13d3dad0892925052628b2db0782a9da4eba30909af82c4ecdfe4193bf99231c
• 19508523a67dbc143b664e4ef797defec624d9afdec50c54290842a15dbb3053
• 195c34912cac6690afdf5134fb69b596d191693ef1d3da6c11fb9ae673093c4d
• 198fc0ef529f0773cc3dbca06d3763188259cccb475b5d467a0bc12fcf012353
• 1acd4592a4eb0c66642cc7b07213e9c9584c6140210779fbc9ebb76a90738d5e
• 1ce2ef4aca27191388e54d66726f415af5c921d5d29ec98d6e2a7eebd4d60358
• 1d0d69f4003ca4f5f36c4c42a8e771bc932afcba2d6b70d82a044939a8dd9081
• 212caed4168b857967a2d1f06840a501521e4cef57ba77fb8c1e85ee613f9180
• 313117e723dda6ea3911faacd23f4405003fb651c73de8deff10b9eb5b4a058a
• 39424c07d0147f8951283b09c4c10359f4e8ec8b1b778706e020bb4f94fe7e5a
• 41484153083d52e910605f832cc72d82f5b4a9f05d6f9ce02287d6a1246f3bb1
• 445c9684a2d9c3fbd4038f96a58ae7ad287bb5e69f59f66a0e481d98ed94525d
• 4c0f737cbfec30e0c11f4fef5be68c6486ac01d3bc15465bb18dd1dbece0ff87
• 521c8ba171a0b5f83f0cb92dd4a0f8837366146f725c5efd12df85b5578f155f
• 576bec03846828620fc388e9d2503d86667c622b791ae4debc5de56458390bbf
• 5d840b741d1061d51d9786f8009c37038c395c129bee608616740141f3b202bb
• 62153a6ce1b9b908581674dd53a68cacfa1f73d917b65ccf1cf61f399de7cb1a
• 711531dd05fc988ffd821a1de4f609beff090a1f569c855d28c9dc06d7a98d67
• 738be6216caeba1d3d37a8b7c7696e39eeb366e8397a96d23b840e85fd1bcc21
• 7cf6ca770f31986ed5ec53f5822d4d8a95ec46d1f147ba0af67801f0c224dc4d
• 81a6e79f3ac731bb3c7efbdcaf18df7662964b8e7907018b1b4551f3562f1b66
• 83a6feb6304effcd258129e5d46f484e4c34c1cce1ea0c32a94a89283ccd24f9
• 85bcddbac3a342dcbe58cbd576aa17973fd03665384b01ffebeeaa2da3eed6cc
• 86625437e6947378ae34c0b31a6b1d81dee0bacfef34e5a80e522468802636d4
• 8793353461826fbd48f25ea8b835be204b758ce7510db2af631b28850355bd18
• 88ea8049e3fa6045cf6fbc85f8e761cae8680d2ec0915436e0b4a015c314827d
• 89027f1449be9ba1e56dd82d13a947cb3ca319adfe9782f4874fbdc26dc59d09
• 8c2bf904df889cb7a5879e2cc5ba08a11f57cb7dd3938f4b2be4cc8974a051f4
• 9074fd40ea6a0caa892e6361a6a4e834c2e51e6e98d1ffcda7a9a537594a6917
• 95d76324d78828b8ea159cb168b5bcd8456534b622444b4332e94b6dd63cff19
• a0f35e2b969ed2516abd3de9cc6aa0e71e1a2e60151c04aa20c40e82b3035a0c
• a67ba852d16d9805ea7f0e8a9ac2a4e6cf8c411a246a6e7e2f0f3f51a4cab238
• a74612ae5234d1a8f1263545400668097f9eb6a01dfb8037bc61ca9cae82c5b8
• a8bd79d517ce20c88626ef5df4e216c46a4a7770223a7f6f11d926afaaee606f
• ab22445d724c66a7207210155d8d760ae645df6ec4c84ca50c14614ed22982c7
• abc075efebb3b9b13aabe9792b1e3ae52964864ce208dfa79275197f309104d5
• ad264a1da3d261dd6450ec172fd9560be2b89f6fa38f844ae004238c19474560
• bbcf1a1516b51411bb5c422a91068854debba4c0e1b4025d595de9a051aad31d
• be556bc2c58e56e6054ec017df771cf086cb6e4bfeafa5e6f2da5e6068ee1262
• bff79d224cd372ad3c39de2f451ccc890ebaa95e45297820c9051ab0560fe6c2
• c48738873fa66da88f9e3acf0855f2049b5a0d2b7c480c9a277a66cb90814b10
• ca5de848bc21cc7aabe98339929cdc4d96b8b86f82c04bada65a00302df25800
• cb44ad743e0b35d89efdc0ced14573d3bcfb320e8c63581967b1c323e24d30f0
• d63ea8b4361a1b4f93f145bc813dc7435ff36cf2ced27ece0d48a9e6ac08c2be
• d96856cd944a9f1587907cacef974c0248b7f4210f1689c1e6bcac5fed289368
• db6d165ddd8b2dbe684b59872dde0639d0dae1a4f6569add0b448786142024b9
• dcd5ec06f9afa38b8e3402212f7dd42f4f4c8b723c9a03040228e7969389f5be
• dd3203a394f27d990274ca5fdb82bcf1a69f82a6b8f9d002d9569c01a04718c9
• ddb7a4d0c78ee11ce38e9f37d55e9065edf74c0f97ddfbffdffee10dfb87107e
• debe65555f1c10e59c09431c605c1d4058df60f86b9831d58794cd72546165a1
• e1bd780d6a872c2ec443ef394c094739279309f986b899033f3e0bf0b55dbf09
• e83861e331e90f2a41cd749e33614fb61595c1b9e29d9808b8dd68cc38968c47
• ea89ad160b44b3c357a812b62206c44bc0591c11cf1ca11749161d27e9902261
• edfe2b923bfb5d1088de1611401f5c35ece91581e71503a5631647ac51f7d796
• f26572999b8f1b640924ce0451111cb75b3d7ae8f066201cf912f4ac327f4809
• f34110425213e6ebbd9dd9ad796cba9acdb5649d927013b66a31ab144174dcd3
• f39bee852b0188081eda084b0b443c12e2e0b4f724eda21f03cf752814d78f27