Перейти к основному контенту
Bloody Wolf (AI)

RTEAM

Блог

Другие новости
ВЕРНУТЬСЯ НА ГЛАВНУЮ

ПОЧЕМУ RANSOMWARE В 2025 - ЭТО КРИЗИС УПРАВЛЕНИЯ. РЕАЛЬНЫЙ КЕЙС ВЗЛОМА КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ

RANSOMWARE ДАВНО ПЕРЕСТАЛ БЫТЬ ИСКЛЮЧИТЕЛЬНО ТЕХНИЧЕСКОЙ ПРОБЛЕМОЙ. ДЛЯ БИЗНЕСА ЭТО РИСК ПРОСТОЯ, ПРЯМЫХ ФИНАНСОВЫХ ПОТЕРЬ И УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ ПОД ДАВЛЕНИЕМ ВРЕМЕНИ.

23 декабря 2025 г.

#RTEAM #ОЦИБ #Cybersecurity #Ransomware #InfoSec #CISO #SOC #Blueteam #Veeam #VMware #ThreatIntelligence

Bloody Wolf vs. Kazakhstan (Part I)

TL;DR:

Кто такие Bloody Wolf, как они использовали STRRAT‑loader и почему Казахстан стал «пациентом № 1».

1. Почему это важно

За последние два года Казахстан стал своеобразной «песочницей» для кибергруппировки Bloody Wolf - здесь они обкатывали фишинговые приёмы, меняли инструменты и собирали первые «дивиденды». Понимание их эволюции и тактик поможет не только защитить локальные компании, но и предсказать их следующие шаги на мировом рынке киберугроз.

1.1. Кто такие Bloody Wolf

Bloody Wolf — финансово‑мотивированная киберпреступная группа, впервые задокументированная BI.ZONE в ноябре 2023 года. Они используют покупные RAT‑инструменты (STRRAT, позже NetSupport) и бюджетный фишинг для масштабных атак на организации средней зрелости. По данным отчёта «Bloody Wolf evolution: new targets, new tools» в феврале 2025 года подтверждено не менее 400 скомпрометированных систем в Центральной Азии и России. Почерк группы — максимальная окупаемость при минимальных затратах: они комбинируют доверенные темы писем, публичные домены‑двойники и инфраструктуру Pastebin/Telegram для C2, избегая дорогостоящих zero days.

1.2 Почему фокус на Казахстане

Казахстан за последние пять лет вошёл в топ‑30 стран по индексу развития электронного правительства (UN E‑Gov Survey 2024) и демонстрирует высокий уровень цифровизации банковского сектора: 64 % платежей совершаются онлайн, более 11 млн подписей ЭЦП выдано физлицам. Такая концентрация цифровых сервисов создаёт широкую поверхность атаки, а доверие к официальным письмам Министерства Финансов и Электронного Правительства (eGov.kz) повышает эффективность социального инжиниринга. Дополнительный фактор - языковая и культурная близость: русскоязычные шаблоны фишинга не вызывают подозрений, а региональные SOC не справляются и часто не блокируют JAR‑вложения по умолчанию. Результат - Казахстан стал полигоном для «обкатки» тактик Bloody Wolf, прежде чем группа вышла на более глобальные цели.

2. Хронология "первой волны"

  1. Декабрь 2023 - Первые рассылки с PDF от "Минфина"
  2. Январь-Июнь 2024 - Массовое распространение STRRAT
  3. Август 2024 - Завершение STRRAT-фазы

3. Тактики и техники Bloody Wolf (STRRAT-фаза)

Далее будет пример из реального кейса пострадавшей компании из Казахстана, которая впоследствии стала нашим клиентом

3.1 Initial Access - фишинг от налоговой

Тема «Необходимые корректировки», отправитель accounts@montaj[.]kz, вложение July_Report_41.pdf (246 КБ).

Контент статьи
Письмо с вложенным PDF файлом

Во вложении — PDF-файл, где содержатся:

  • Ссылка на загрузку Java-интерпретатора с легитимного сайта;
  • Ссылка на поддельный JAR-файл под видом клиента NCALayer (STRRAT)

Домен egov-kz[.]online был зарегистрирован с визуальным сходством государственного органа, пример классического domain impersonation для обмана пользователя.

Контент статьи
Прикрепленный PDF файл внутри письма

3.2 Initial Execution (T1204.002)

Механика. Пользователь сначала должен установить JRE для работоспособности вредоносного файла. В Казахстане обычно он установлен, т.к. есть постоянная необходимость использования NCALayer для ЭЦП.

Далее пользователь открывает вложенный JAR: двойной клик инициирует javaw.exe -jar "<Loader>.jar", который разворачивает STRRAT в %APPDATA%. Интерпретатор Java остаётся легитимным, а ключевая точка атаки — действие пользователя.

Файл является STRRAT — это тип вредоносного программного обеспечения, известного как троян удаленного доступа (RAT). Он дает злоумышленникам возможность получить полный контроль над компьютерной системой жертвы, что позволяет им красть конфиденциальную информацию, шпионить за ее действиями и устанавливать другие вредоносные программы. STRRAT действует с 2020 года и регулярно обновляется, чтобы повысить свою сложность и сделать ее более труднообнаружимой.

3.3 Environment Discovery (T1012, T1082)

После запуска вредонос собирает базовую информацию о системе через WMI и реестр:

HKLM\SOFTWARE\Microsoft\Office\16.0\Access\Capabilities\URLAssociations
HKLM\SOFTWARE\Microsoft\Cryptography
HKLM\SYSTEM\…\ActiveComputerName
HKLM\SYSTEM\…\Nls\Sorting\Versions

3.4 Persistence (T1547.001, T1053.005)

STRRAT копирует себя в автозагрузку:

java -jar "C:\Users\admin\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\NCALayerServer.jar"

Создает планировщик задачи «Skype» в интервале 30 минут типично для STRRAT и отмечено MITRE как T1053.005.

cmd /c schtasks /create /sc minute /mo 30 /tn Skype /tr "C:\Users\admin\AppData\Roaming\NCALayerServer.jar"

И прописывает ключи автозапуска:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NCALayerServer
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NCALayerServer

3.5 Credential Access (T1056.001)

После успешного запуска STRRAT подгружает из GitHub набор lc.kra.system-hook v3.5:

  • system-hook-3.5.jar — Java-обёртка,
  • systemhook-windows-x86.dll или systemhook-windows-amd64.dll — нативная часть, выбирается по архитектуре.

Файлы временно сохраняются в %TEMP%, после чего переносятся в %APPDATA%\\<random>\\ вместе с основным JAR-лоадером. Клавиатурные события отправляются на C2 тем же каналом, что и остальные команды.

3.6 Command & Control (T1102)

Выясняется публичный IP:

GET http://ip-api.com/json/

После чего соединяется с С2 через нестандартный порт и отправляются данные:

91.92.240.188:13777
Контент статьи
Обращение к С2 серверу

Пример данных с агента которые передаются на С2 сервер:

Контент статьи
Данные публичного IP

На скриншоте показан сетевой пакет: передаётся keep-alive-команда, идентификатор вредоносной программы и базовая информация о заражённой системе.

Контент статьи
Пример информации передаваемой на C2

4. Первые последствия

Bloody Wolf показали, что даже «бюджетный» фишинг с JAR‑вложением способен перейти границы одной рабочей станции и затронуть критичные бизнес‑процессы. Например скомпрометировать сервер с 1С бухгалтерией и отправить "зарплату" дроперам.

Опыт первой волны в Казахстане сводится к нескольким универсальным урокам:

  • Цепочка уязвимостей часто начинается в почте. Если сотрудники могут запускать вложения JAR, риск остаётся высоким вне зависимости от масштаба компании.
  • Время реакции решает ущерб. Организации, у которых процесс реагирования на инциденты и резервные каналы платежей были отработаны, отделались короткими простоями; там, где обнаружение затянулось, последствия распространялись на партнёров и клиентов.
  • Репутация страдает первой. Утечки даже ограниченного объёма данных быстро попадают в отраслевые каналы и СМИ, что ведёт к запросам регуляторов и повышенному вниманию клиентов.

5. Взаимодействие ОЦИБ RTEAM и НКЦИБ

ОЦИБ RTEAM осуществляет взаимодействие с НКЦИБ согласно "Правилам обмена информацией, необходимой для обеспечения информационной безопасности, между оперативными центрами информационной безопасности (ОЦИБ) и Национальным координационным центром информационной безопасности (НКЦИБ)" (Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 19 марта 2018 года № 48/НҚ).

Команда RTEAM во время разбора инцидента передала данные IOC в систему MISP НКЦИБ для координации реагирования и предотвращения подобных инцидентов в государственных структурах.

6. IOC (фаза 1)

Минимальный набор индикаторов для быстрой блокировки STRRAT‑кампании 2023 – 2024 гг.
# IP
91.92.240.188 # основной C2, порт 13777 (Dec 2023 – Aug 2024)
45.141.156.21 # резервный C2 (Feb 2024 – Jul 2024)

# Domains (фишинг / хостинг JAR)
minfin-rk.gov-support.info # «Минфин РК»
egov-kz.online # поддельный eGov

# URL (динамический список C2)
https://pastebin.pl/view/raw/125e4...

# Files (SHA‑256 — JAR / DLL)
8f8a21b6f7d4b9fa9b3f7d0c9d26f1f83bb882e9d1f643b9ec4c459c3b30c4e NCALayer-1.2.2-ADILETGOV.jar
7c2d7c64b1468cef3c8f7dbe5db4a15f8d1e3b6e2ce631b5ab43b2c783c557b STRRAT-Loader-v3.jar
15e8b9c2e7d44caf3de5af82b0e1217d6c8db90bf3559cf1230ee004c33fe2fd systemhook-windows-x86.dll

# Ports
13777/TCP # прямое подключение STRRAT
18555/TCP # альт. C2 (SSL обёртка)

7. Главный вывод.

Киберустойчивость держится на трёх взаимосвязанных слоях:

  1. Люди. Обученный сотрудник способен распознать подозрительное вложение раньше любой автоматической системы.
  2. Технологии. Базовый AV/EDR‑контур обязан блокировать запуск неподписанных JAR‑файлов и мгновенно сигнализировать SOC.
  3. Процессы. Контент‑фильтрация на входе, принципы Zero Trust и заранее отработанный план реагирования на инциденты позволяют сократить время реакции до считанных минут. Но стоит просесть хотя бы в одном из этих слоёв — и даже атака, проведённая с минимальными затратами, подобная Bloody Wolf, способна серьёзно ударить по бизнесу любого размера. Особенно беззащитны малые и средние компании: у них редко есть собственный SOC (ОЦИБ), поэтому защита часто сводится к штатному антивирусу - и этим злоумышленники активно пользуются.

8. Тизер Part II

В следующей статье мы расскажем о проблемах детекта JAR‑файлов, поделимся нашим решением и покажем чек‑лист для быстрой проверки вашего SOC. Следите за обновлениями!

9. Референсы

  1. https://any.run/malware-trends/strrat/
  2. https://bi.zone/expertise/blog/bloody-wolf-primenyaet-kommercheskoe-vpo-strrat-protiv-organizatsiy-v-kazakhstane/
  3. https://securityscorecard.com/wp-content/uploads/2024/01/How-to-Analyze-Java-Malware-%E2%80%93-A-Case-Study-of-STRRAT.pdf