Главная страница » Индикаторы компрометации
0
17 часов
Индикаторы компрометации

Группировка Stan Ghouls нацелилась на Узбекистан: обнаружена новая кампания с более чем 60 жертвами

APT

Группировка Stan Ghouls, также известная как Bloody Wolf, продолжает целенаправленные атаки на организации в Центральной Азии. В ходе последней кампании, детально исследованной экспертами, киберпреступники сфокусировались на Узбекистане, поразив около 50 жертв. Еще порядка 10 устройств в России также были атакованы, а отдельные инциденты зафиксированы в Казахстане, Турции, Сербии и Беларуси, что, вероятно, является сопутствующим ущербом.

Описание

Активность группировки отслеживается с 2023 года. Ее основные цели - предприятия промышленного производства, финансового сектора и IT-индустрии в России, Кыргызстане, Казахстане и Узбекистане. Операции Stan Ghouls отличаются тщательной подготовкой и использованием специально разработанного инструментария, включающего кастомные загрузчики на Java и разветвленную инфраструктуру.

В ходе последнего расследования исследователи заметили изменения в инфраструктуре злоумышленников, в частности, появление новой партии доменов. Более того, были обнаружены свидетельства, позволяющие предположить, что группировка могла добавить в свой арсенал вредоносное ПО, ориентированное на устройства интернета вещей.

Тактика и эволюция угрозы

Основным и пока единственным вектором первоначального проникновения остается целевой фишинг. Атакующие рассылают письма с вредоносными PDF-вложениями, написанные на языках целевых стран. В предыдущих кампаниях использовался кыргызский язык, а в последней - узбекский. Тематика писем часто связана с судебными уведомлениями, что повышает вероятность открытия вложения жертвой.

Ранее группировка использовала удаленный троянец доступа STRRAT. Однако примерно год назад стратегия изменилась. Теперь злоумышленники злоупотребляют легитимным программным обеспечением для удаленного управления NetSupport, чтобы сохранять контроль над зараженными системами. Основным мотивом, судя по выбору целей, остается финансовая выгода. Тем не менее, активное использование RAT также может указывать на элементы кибершпионажа.

Технические детали последней кампании

Фишинговое письмо, написанное на узбекском языке, содержит вложение - PDF-документ, который выдает себя за судебное уведомление. Внутри документа находится текст на русском и узбекском языках с двумя ссылками. Эти ссылки ведут на один и тот же вредоносный JAR-файл - загрузчик на Java.

Этот загрузчик выполняет три ключевые функции. Во-первых, он отображает пользователю фальшивое сообщение об ошибке, утверждая, что приложение не может работать в его операционной системе. Во-вторых, он проверяет, чтобы количество предыдущих попыток установки RAT не превышало трех. Если лимит исчерпан, загрузчик завершает работу. В-третьих, он загружает с вредоносного домена набор файлов, составляющих утилиту NetSupport.

После успешной загрузки загрузчик создает и исполняет скрипт запуска. Для обеспечения устойчивости вредоносного ПО он использует три метода: создание автозапускающегося скрипта в папке Startup, добавление записи в реестр Windows и создание запланированной задачи. В результате злоумышленники получают полный контроль над компьютером жертвы.

Подозрения на расширение арсенала

Интересное открытие было сделано при анализе домена, связанного с более ранней кампанией Stan Ghouls в Кыргызстане. На этом же сервере были обнаружены файлы, относящиеся к печально известному IoT-ботнету Mirai. Это позволяет с низкой степенью уверенности предположить, что группировка расширяет свой инструментарий, добавляя угрозы для интернета вещей. Однако также вероятно, что инфраструктура была просто арендована или использована другими киберпреступниками, что подкрепляется датой последнего обновления регистрационной информации домена, которая произошла уже после активной фазы кампании Stan Ghouls.

Атрибуция и масштаб

Кампания с высокой степенью уверенности атрибутирована группировке Stan Ghouls. Это подтверждается существенным перекрытием кода в загрузчиках, идентичным внешним видом документов-приманок и уникальным для этой группы использованием Java для создания вредоносных загрузчиков. Java в последние годы редко используется авторами подобного ПО, что служит своеобразным цифровым отпечатком.

Более 60 пораженных устройств - необычно высокое число для целевой атаки подобного уровня сложности. Это указывает на значительные ресурсы, которые атакующие готовы выделять на поддержание ручного контроля над множеством систем одновременно.

Выводы и защита

Новая кампания Stan Ghouls демонстрирует их постоянную активность и адаптацию. Группировка сохраняет верность проверенным инструментам, таким как NetSupport и Java-загрузчики, но постоянно обновляет свою инфраструктуру, регистрируя новые домены для каждой операции. Обнаружение файлов Mirai на связанном ресурсе требует дальнейшего наблюдения, чтобы понять, является ли это признаком диверсификации атак.

Для противодействия таким угрозам критически важно повышать осведомленность сотрудников о фишинге, особенно с вложениями, маскирующимися под официальные документы. Кроме того, необходимы строгие политики контроля за запуском приложений и установкой ПО, включая ограничение использования легитимных инструментов удаленного администрирования в непредназначенных для этого целях. Решения для кибербезопасности обеспечивают защиту на всех этапах подобных атак, от блокировки фишинговых писем до обнаружения подозрительной активности в сети.

Индикаторы компрометации

Domains

  • ach-uz.com
  • audit-kg.com
  • auditnotice-kg.com
  • esf-kg.com
  • kgauditcheck.com
  • kyrgyzstanreview.com
  • minjust-kg.com
  • mysoliq-uz.com
  • my-xb.com
  • notice-kg.com
  • proauditkg.com
  • rouming-uz.com
  • salyk-notofocations.com
  • servicedoc-kg.com
  • soliq-uz.com
  • tax-kg.com
  • taxnotice-kg.com
  • xarid-uz.com

MD5

  • 047a600e3afbf4286175badd4d88f131
  • 056b75fe0d230e6ff53ac508e0f93ccb
  • 0bf01810201004dcc484b3396607a483
  • 0cc80a24841401529ec9c6a845609775
  • 0ce06c962e07e63d780e5c2777a661fc
  • 1b740b17e53c4daeed45148bfbee4f14
  • 299a7e3d6118ad91a9b6d37f94ac685b
  • 3f41091afd6256701dd70ac20c1c79fe
  • 3f99fed688c51977b122789a094fec2e
  • 4c4fa06bd840405fbec34fe49d759e8d
  • 51703911dc437d4e3910ce7f866c970e
  • 5c4a57e2e40049f8e8a6a74aa8085c80
  • 60c34ad7e1f183a973fb8ee29dc454e8
  • 61ff22ba4c3df7ae4a936fcfdeb020ea
  • 62afacc37b71d564d75a58fc161900c3
  • 646a680856f837254e6e361857458e17
  • 649c7cacdd545e30d015edb9fcab3a0c
  • 78cb3abd00a1975bebeda852b2450873
  • 79d0eeafb30aa2bd4c261a51104f6acc
  • 7e8feb501885eff246d4cb43c468b411
  • 8064f7ac9a5aa845ded6a1100a1d5752
  • 8aa104e64b00b049264dc1b01412e6d9
  • 8b0bbe7dc960f7185c330baa3d9b214c
  • 8c63818261735ddff2fe98b3ae23bf7d
  • 8da8f0339d17e2466b3d73236d18b835
  • 923557554730247d37e782db3bea365d
  • 95db93454ec1d581311c832122d21b20
  • a539a07891a339479c596babe3060ea6
  • af9321ddb4bef0c3cd1ff3c7c786f0e2
  • b13f7ccbedfb71b0211c14afe0815b36
  • b4ff4aa3eba9409f9f1a5210c95dc5c3
  • b51d9edc1dc8b6200f260589a4300009
  • be0c87a83267f1ce13b3f75c78eac295
  • c363cd87178fd660c25cdd8d978685f6
  • d0cf8946acd3d12df1e8ae4bb34f1a6e
  • db796d87acb7d980264fdcf5e94757f0
  • db84febfd85f1469c28b4ed70ac6a638
  • e0023eb058b0c82585a7340b6ed4cc06
  • e3cb4dafa1fb596e1e34e4b139be1b05
  • ed0ccada1fe1e13ef78553a48260d932
  • f14275f8f420afd0f9a62f3992860d68
  • fa53b0fcef08f8ff3ffddfee7f1f4f1a
Комментарии: 0
Похожие записи