Хакеры Stan Ghouls атакуют компании через легальную утилиту NetSupport
3 мин
24
1
Хакгруппа Stan Ghouls (или Bloody Wolf) атаковала организации в Узбекистане и России. Злоумышленники используют легитимную утилиту удалённого управления NetSupport RAT, что делает их атаки менее заметными для защитных систем, сообщили исследователи информационной безопасности из «Лаборатории Касперского». В последней волне атак пострадало 50 организаций в Узбекистане, примерно 10 в России, а также по несколько в Казахстане, Турции, Сербии и Беларуси.
Группа работает как минимум с 2023 года. В её фокусе — производство, финансы и IT. Атаки готовятся основательно, под каждую жертву подготовка ведётся отдельно.
У Stan Ghouls имеются семейство специальных загрузчиков на Java и разветвлённая инфраструктура с выделенными ресурсами под конкретные кампании. Схема работает просто и надёжно — фишинговые письма с PDF-вложениями. Ранее группа использовала троян STRRAT, он же Strigoi Master, но в 2025 году хакеры сменили инструмент на NetSupport — легальное ПО для удалённого управления.
В последней кампании письма приходили на узбекском языке. В атаках Stan Ghouls старается писать на местных языках, а не на русском или английском. Во вложении PDF с приманкой жертве сообщали, что для открытия материалов дела требуется Java. Скачать её с официального сайта и установить предлагалось самостоятельно.
Документ содержит текст на двух языках и две ссылки на вредоносный JAR-файл. Загрузчик демонстрирует фейковое сообщение об ошибке, информируя жертву, что приложение не запускается. Потом проверяет, сколько раз уже пытались установить RAT — если больше трёх, отображает сообщение о превышении лимита попыток. И наконец, скачивает с вредоносного домена утилиту удалённого управления и сохраняет на устройстве.
Загрузчик скачивает все компоненты NetSupport RAT — список прописан в коде. После проверки успешной загрузки он создаёт скрипт запуска, сохраняет в нужную папку и запускает. Действия прописываются в автозагрузку тремя способами сразу — скрипт в папке автозапуска, запись в реестре и задача в планировщике.
После установки NetSupport злоумышленники получают полный контроль над устройством. На одном из доменов группы нашли файлы зловреда Mirai для IoT-устройств. Возможно, Stan Ghouls расширяет арсенал и начинает атаковать интернет вещей. Хотя не исключено, что хакеры просто поделились инфраструктурой с другими группировками.
По словам кибербез-специалистов, атрибуция к Stan Ghouls сделана с высокой уверенностью. Код загрузчиков очень похож на предыдущие образцы. Файлы-приманки оформлены в том же стиле. Как и в предыдущих атаках, неизменным остаётся использование Java для загрузчиков.
