血腥之狼:APT组织利用合法软件NetSupport的攻击链分析
引言
Bloody Wolf是一个自2023年底开始活跃的高级持续性威胁(APT)组织。该组织最初使用商业恶意软件STRRAT,后来转为部署合法的NetSupport远程管理工具(RAT),针对哈萨克斯坦和俄罗斯的目标进行攻击。
Group-IB与UKUK的联合调查显示,Bloody Wolf至少从2025年6月起就在吉尔吉斯斯坦开展活动。这些威胁行为者通过仿冒该国司法部的官方PDF文档和域名,托管旨在部署NetSupport RAT的恶意Java归档(JAR)文件。
到2025年10月初,Group-IB分析师观察到攻击者已将活动扩展到乌兹别克斯坦,使用了与在吉尔吉斯斯坦观察到的相同的初始访问技术和基础设施。
关键发现
- Bloody Wolf在2025年仍然活跃,将其业务扩展到中亚多个国家
- 该组织继续冒充政府机构,特别是司法部,以增加其诱饵的可信度
- 虽然该组织的国家归属尚未确认,但Bloody Wolf会制作目标当地语言的诱饵PDF以提高可信度,不过俄语仍然是最常用的语言
- Bloody Wolf使用自定义的JAR生成器创建大量样本以供进一步分发
感染链分析
在观察到的活动中,攻击始于包含PDF附件的鱼叉式网络钓鱼电子邮件。PDF冒充司法部,指示受害者打开标记为"案件材料"的嵌入式恶意链接。点击这些链接会启动感染链。
诱饵指示收件人(在电子邮件正文或附加的PDF中)从官方网站安装Java运行时,借口是需要查看文档。此策略在以前的活动中也被观察到。受害者运行下载的Java归档(JAR)后,JAR有效负载会下载其他组件,并最终部署NetSupport RAT以进行远程控制和入侵后活动。
在乌兹别克斯坦阶段的活动中,发现交付基础设施具有地理围栏:来自乌兹别克斯坦以外的请求被重定向到合法的data[.]egov[.]uz网站,而该国境内的请求则触发从PDF中嵌入的URL自动下载恶意Java归档。
执行后,恶意软件会显示虚假错误消息,并开始从攻击者控制的域下载其他NetSupport RAT组件。
Bloody Wolf的JAR加载器剖析
JAR文件体积非常小,使用Java可能是避免防病毒检测的简便方法。Group-IB在活动中观察到的文件是使用2014年发布的Java 8构建的,看起来Bloody Wolf使用自定义的JAR生成器或模板来创建这些二进制文件。
进一步研究表明,开发了众多JAR样本以供分发。它们的主要区别在于使用不同的路径下载NetSupport组件、注册表键和计划任务。每个样本向受害者显示不同的虚假错误消息,这些消息逻辑上与下载的JAR名称相关。
每个JAR包含单个Java类且没有混淆。它们唯一的任务是从嵌入的URL通过HTTP下载NetSupport Manager合法二进制文件,将程序添加到自动启动,并安排运行NetSupport二进制文件的任务。JAR还有一个设置为"3"的启动限制计数器。它使用嵌入的文件名(即%USERPROFILE%\Documents[Something][something].dat)将计数器保存在%USERPROFILE%内的文件中。为了在后台进行此活动时分散用户的注意力,会显示虚假的程序错误消息。
createTempFiles函数不执行任何操作。它只打印到控制台,可能未完成或用于调试目的。
display[Something]Error函数显示虚假错误消息框。checkLaunchLimit函数读取存储启动计数器的文件并减少其值,该值从固定数字3开始。
execute[Something]函数下载NetSupport二进制文件,将它们添加到自动运行,并运行主要的NetSupport可执行文件。
为了持久化,它同时通过三种方式使NetSupport自动启动:
- 将.bat文件放入%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup,包含以下命令:
@echo off
cd /d "C:\Users\Bruno\Documents\[Something]"
start "" "[net support executable].exe"
- 通过执行以下命令添加注册表值:
cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [something] /t REG_SZ /d "[path to net support executable]"
- 通过运行创建计划任务:
cmd.exe /c schtasks /TN "[Something]" /TR "[path to netsupport executable]" /SC ONLOGON /RL LIMITED /F /RU "%USERNAME%"
NetSupport RAT - 武器化合法软件
NetSupport Manager是由NetSupport Ltd开发的合法远程访问和管理软件,广泛用于教育、政府、医疗和企业部门。它使IT团队能够远程控制和支持Windows、Mac、Linux和移动设备。具有屏幕共享、文件传输、系统清单等功能,它可作为基于云的RMM工具的可靠替代品,特别是在军事和金融等高安全环境中。
Bloody Wolf使用2013年的非常旧的NetSupport Manager版本,可能是在互联网上找到的不同许可证。
结论
Bloody Wolf展示了如何将低成本、商业可用的工具武器化为复杂的、针对特定区域的网络操作。通过利用对政府机构的信任和简单的基于JAR的加载器,该组织继续在中亚威胁环境中保持强大的立足点。
这种社会工程学和易用工具的结合使Bloody Wolf能够保持有效,同时保持低操作特征。从传统恶意软件转向合法的远程管理软件表明其战术的持续演变,旨在逃避检测并融入正常的IT活动。鉴于该组织的适应性和持久性,中亚的组织应保持警惕,预计在不久的将来会继续出现鱼叉式网络钓鱼活动和不断演变的感染链。
建议
- 除非明确需要,否则阻止在用户端点上执行JAR文件
- 审核像NetSupport这样的软件的合法部署,并对未经授权的安装或不寻常的会话发出警报
- 部署能够检测高级鱼叉式网络钓鱼、恶意附件和域冒充尝试的业务电子邮件保护(BEP)平台
- 定期对员工进行当前网络钓鱼策略的教育 - 特别是假冒政府通信,敦促他们打开PDF或安装Java
- 利用威胁情报源了解新兴活动、新的妥协指标(IOC)和不断发展的TTP
- 集成来自欺诈保护的网页片段,以监控银行Web应用程序会话并检测cookie盗窃
MITRE ATT&CK
| 战术 | 技术 | 程序 |
|---|---|---|
| 初始访问(TA0001) | 网络钓鱼(T1566) | 在网络钓鱼电子邮件中,Bloody Wolf使用带有嵌入URL的PDF诱饵 |
| 初始访问(TA0001) | 鱼叉式网络钓鱼附件(T1566.001) | |
| 执行(TA0002) | 命令和脚本解释器(T1059) | 用于HKCU和命令执行的CMD |
| 执行(TA0002) | Windows命令外壳(T1059.003) | |
| 执行(TA0002) | 用户执行(T1204) | 用户启动JAR加载器 |
| 执行(TA0002) | 恶意文件(T1204.002) | |
| 持久化(TA0003) | 启动或登录自动启动执行(T1547) | 添加注册表项,每个JAR都有自己的路径 |
| 持久化(TA0003) | 注册表运行键/启动文件夹(T1547.001) | |
| 持久化(TA0003) | 计划任务/作业(T1053) | |
| 发现(TA0007) | 文件和目录发现(T1083) | 发现特定路径以下载组件 |
| 命令和控制(TA0011) | 应用层协议(T1071) | 使用HTTP Get请求拉取组件 |
| 命令和控制(TA0011) | Web协议(T1071.001) | |
| 命令和控制(TA0011) | 远程访问工具(T1219) | NetSupport RAT利用 |
妥协指标(IOCs)
文件哈希
吉尔吉斯斯坦活动中的NetSupport RAT组件
| 文件名 | SHA-256 |
|---|---|
| advpack.dll | a8bd79d517ce20c88626ef5df4e216c46a4a7770223a7f6f11d926afaaee606f |
| remcmdstub.exe | 89027f1449be9ba1e56dd82d13a947cb3ca319adfe9782f4874fbdc26dc59d09 |
| ... | ... |
乌兹别克斯坦活动中的NetSupport RAT组件
| 文件名 | SHA-256 |
|---|---|
| advpack.dll | a8bd79d517ce20c88626ef5df4e216c46a4a7770223a7f6f11d926afaaee606f |
| remcmdstub.exe | 89027f1449be9ba1e56dd82d13a947cb3ca319adfe9782f4874fbdc26dc59d09 |
| ozbekiston.exe | abc075efebb3b9b13aabe9792b1e3ae52964864ce208dfa79275197f309104d5 |
| ... | ... |
网络指标
- minjust-kg[.]com
- esf-kg[.]com
- audit-kg[.]com
- ach-uz[.]com
- uzaudit[.]com
- soliq-uz[.]com
- hisobot-uz[.]com
- ttbbaits[.]com
- nac-ac[.]com
- hgame33[.]com
- ravinads[.]com
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
)