Группа киберпреступников, известная под названием Bloody Wolf, активизировала кампанию по целевым фишинговым атакам. Их мишенью стали органы государственной власти и организации критической информационной инфраструктуры (КИИ) Российской Федерации. Эксперты по кибербезопасности зафиксировали новую схему рассылки вредоносных писем, в которой злоумышленники маскируются под официальных представителей Генеральной прокуратуры Кыргызской Республики.
Описание
Согласно данным, полученным от аналитиков, атака начинается с получения сотрудником целевой организации электронного письма. Отправитель искусно имитирует официальное обращение от кыргызского надзорного ведомства. Это создает у получателя ложное ощущение легитимности и срочности, что является классическим приемом в социальной инженерии. Во вложении такого письма находится файл с расширением ".pdf".
Однако этот PDF-документ не содержит непосредственной вредоносной нагрузки. Вместо этого его текст включает в себя убедительную просьбу или требование перейти по указанной гиперссылке для ознакомления с материалами якобы важного дела или документа. Именно этот переход является ключевым этапом атаки. Когда пользователь кликает по ссылке, его браузер незаметно загружает на компьютер файл с расширением ".jar" (Java Archive).
Запуск этого JAR-файла пользователем инициирует две параллельные операции. Во-первых, на экране действительно открывается документ-приманка, часто также в формате PDF. Это делается для того, чтобы у жертвы не возникло подозрений, и она поверила в легитимность процесса. Одновременно с этим в фоновом режиме на целевую систему тайно устанавливается программа для удаленного доступа и управления - коммерческое ПО NetSupport Manager.
Установка NetSupport предоставляет злоумышленникам из группы Bloody Wolf практически полный контроль над скомпрометированным компьютером. Они получают возможность удаленно выполнять команды, красть конфиденциальные данные, перемещаться по корпоративной сети и создавать точки постоянного доступа (persistence) для последующего шпионажа или проведения более разрушительных действий. Использование легитимного, "белого" программного обеспечения в злонамеренных целях - это известная тактика, которая помогает злоумышленникам обходить некоторые традиционные средства защиты, так как трафик от таких программ часто не вызывает подозрений у систем IDS (обнаружения вторжений).
Выбор в качестве прикрытия иностранного государственного органа - Генеральной прокуратуры Кыргызстана - не случаен. Это усложняет быструю проверку легитимности обращения для российского сотрудника и добавляет атаке элемент межгосударственного взаимодействия, что повышает её убедительность. Подобные методы соответствуют тактикам, описанным в матрице MITRE ATT&CK, в частности, техникам фишинга (T1566), использования доверенных отношений (T1199) и внедрения вредоносного ПО (T1204).
Атака демонстрирует высокий уровень подготовки группировки Bloody Wolf. Специалисты отмечают, что целевые фишинговые кампании против государственных структур и объектов КИИ остаются одним из наиболее эффективных способов проникновения в хорошо защищенные сети. Успех таких операций критически зависит от человеческого фактора и умения злоумышленников манипулировать психологией жертвы.
В связи с этим эксперты настоятельно рекомендуют организациям, особенно в государственном секторе, усилить обучение сотрудников киберграмотности. Сотрудники должны быть обучены проверять адреса отправителей, не переходить по ссылкам из непроверенных писем и обращать внимание на косвенные признаки фишинга, даже если письмо выглядит официально. Кроме того, в инфраструктуре рекомендуется ограничить выполнение скриптовых файлов, таких как JAR, с ненадежных источников и применять строгие политики контроля приложений.
На данный момент нет официальных комментариев от российских регуляторов по поводу конкретных инцидентов, связанных с этой кампанией. Однако угроза подчеркивает сохраняющуюся актуальность сложных многоступенчатых атак на критически важные институты, где основной целью является не мгновенное разрушение, а длительный шпионаж и закрепление в системе.
Индикаторы компрометации
Domains
- hgame33.com
- kgauditcheck.com
- proauditkg.com
- ravinads.com
URLs
- http://kgauditcheck.com/review/
- http://proauditkg.com/instructions/
- https://kgauditcheck.com/api/v1/public/storage/registry/cases/2025finance_audit/7432612384dio/execution/companies/clients/420523/attachments/823664/docs/official/files/7312518/review/
- https://proauditkg.com/api/v1/public/storage/registry/cases/2025/finance_audit/7432612384dio/execution/companies/clients/420523/attachments/823664/docs/official/files/7312518/review/
SHA256
- 576bec03846828620fc388e9d2503d86667c622b791ae4debc5de56458390bbf
- 57dd90c008df6499f010d1e350c45edf83ea41986c4603163ac0361feb904f60
- 5cea87c570e7add7729d3c4c6dec118e0732987a21b464a26d0794bf4de137d8
- 6d78a0753b7d1a41fd35f65d73c99c58e3c4c460d16555359ba8d66a3ef745f3
- 7bdc9de03d61ca0018d00120a92e14986255074cddb76a01dec81d4dd85bf1e5
- b7b962ab9f24782fc705112b2bac3696cb12b9d05e87b77e323f3cf40a692f29
- be556bc2c58e56e6054ec017df771cf086cb6e4bfeafa5e6f2da5e6068ee1262
- e1478a55d1ccdbe5c02c15cb552f04f00803129ee05555e21324f3ef53e05a14
