Bloody Wolf 威胁行为体扩大中亚地区活动范围

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个利用合法远程访问软件渗透政府目标的网络攻击活动正不断扩大。 该活动由 Group-IB 公司与 UKUK 机构联合发现，由 Bloody Wolf高级持续性威胁组织实施。与传统恶意软件不同，该组织采用精简的基于 Java 的投放方式，部署 NetSupport 远程管理工具。 两家机构指出，自 2023 年末活跃以来，Bloody Wolf组织持续优化其攻击技术。 攻击范围超出初始目标 本周发布的安全公告显示，血腥狼组织至少自 2025 年 6 月起在吉尔吉斯斯坦开展持续攻击活动，并于 10 月初将攻击范围扩大至乌兹别克斯坦。 分析人员观察到，该组织通过伪造的 PDF 文件、仿冒域名以及诱导受害者安装 Java 以查看所谓 “案件材料” 的指令，持续冒充两国司法部。诱骗信息中嵌入的简短消息进一步增强了伪装的合法性。 研究人员表示，相关发现源自一项结合威胁情报数据与攻击组织基础设施分析的联合调查。 值得注意的是，针对乌兹别克斯坦的攻击基础设施配置了地理围栏机制：境外用户访问时会被重定向至合法政府网站，而境内用户则会被推送恶意 JAR 文件下载链接。 攻击链运作机制 受害者打开下载的 JAR 文件后，加载器会获取额外组件，最终安装 NetSupport RAT 以实现远程控制。这些加载器基于 Java 8 构建，仅包含单个类且未经过混淆处理。尽管体积小巧，但它们可自动完成以下操作： 通过 HTTP 协议获取 NetSupport 二进制文件 通过自动运行项建立持久化 创建计划任务 显示虚假错误消息以分散用户注意力 此外，加载器包含一个设置为 3 次的运行次数限制计数器（存储在用户配置文件目录中），意味着恶意软件运行有限次数后会自动停止，以降低被发现的风险。 分析人员还指出，该组织利用定制化 JAR 生成器批量生产恶意样本，这些样本的下载路径、注册表项和错误消息均有所不同。 该组织此前曾使用 STRRAT 工具，目前则依赖 2013 年旧版本的 NetSupport Manager，相关软件许可证可能来源于公开渠道。 报告结论称，社会工程学与低成本工具的结合，使血腥狼组织能够在中亚地区维持稳定的攻击节奏。 Group-IB 在报告中写道：“这种社会工程学与易获取工具的组合，让血腥狼组织在保持低运营曝光度的同时维持攻击有效性。其从传统恶意软件向合法远程管理软件的转变，表明该组织正持续调整策略，以规避检测并融入正常 IT 活动。” “鉴于该组织的适应性与持久性，中亚地区的组织应保持警惕，防范近期可能持续的鱼叉式钓鱼活动及不断演变的攻击链。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文