🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça conhecido como Bloody Wolf foi atribuído a uma campanha de ataque cibernético que tem como alvo o Quirguistão desde pelo menos junho de 2025 com o objetivo de entregar o NetSupport RAT.
A partir de Outubro de 2025, a actividade expandiu-se para também destacar o Uzbequistão, afirmaram os investigadores do Grupo-IB Amirbek Kurbanov e Volen Kayo num relatório publicado em colaboração com Ukuk, uma empresa estatal subordinada ao gabinete do Procurador-Geral da República do Quirguistão. Os ataques tiveram como alvo os setores financeiro, governamental e de tecnologia da informação (TI).
“Esses atores de ameaças se passariam pelo Ministério da Justiça [do Quirguistão] por meio de documentos PDF e nomes de domínio com aparência oficial, que por sua vez hospedavam arquivos Java Archive (JAR) maliciosos projetados para implantar o NetSupport RAT”, disse a empresa com sede em Cingapura.
“Esta combinação de engenharia social e ferramentas acessíveis permite que a Bloody Wolf permaneça eficaz enquanto mantém um perfil operacional discreto.”
Bloody Wolf é o nome atribuído a um grupo de hackers de origem desconhecida que usou ataques de spear-phishing para atingir entidades no Cazaquistão e na Rússia usando ferramentas como STRRAT e NetSupport. O grupo é avaliado como ativo desde pelo menos o final de 2023.
O ataque ao Quirguistão e ao Uzbequistão, utilizando técnicas de acesso inicial semelhantes, marca uma expansão das operações do agente da ameaça na Ásia Central, principalmente fazendo-se passar por ministérios governamentais de confiança em e-mails de phishing para distribuir links ou anexos armados.
As cadeias de ataque seguem mais ou menos a mesma abordagem, pois os destinatários das mensagens são induzidos a clicar em links que baixam arquivos maliciosos do carregador Java Archive (JAR), juntamente com instruções para instalar o Java Runtime.
Embora o e-mail afirme que a instalação é necessária para visualizar os documentos, a realidade é que ele é usado para executar o carregador. Uma vez iniciado, o carregador busca a carga útil do próximo estágio (ou seja, NetSupport RAT) da infraestrutura que está sob o controle do invasor e configura a persistência de três maneiras -
Criando uma tarefa agendada
Adicionando um valor de registro do Windows
Soltando um script em lote na pasta "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
A fase da campanha no Uzbequistão é notável por incorporar restrições de delimitação geográfica, fazendo com que os pedidos provenientes de fora do país sejam redirecionados para o site legítimo data.egov[.]uz. Descobriu-se que solicitações do Uzbequistão acionam o download do arquivo JAR a partir de um link incorporado no anexo em PDF.
O Group-IB disse que os carregadores JAR observados nas campanhas são construídos com Java 8, lançado em março de 2014. Acredita-se que os invasores estejam usando um gerador ou modelo JAR personalizado para gerar esses artefatos. A carga útil do NetSupport RAT é uma versão antiga do NetSupport Manager de outubro de 2013.
“Bloody Wolf demonstrou como ferramentas de baixo custo e comercialmente disponíveis podem ser transformadas em armas em operações cibernéticas sofisticadas e direcionadas regionalmente”, afirmou. “Ao explorar a confiança nas instituições governamentais e alavancar carregadores simples baseados em JAR, o grupo continua a manter uma posição forte em todo o cenário de ameaças da Ásia Central”.
A partir de Outubro de 2025, a actividade expandiu-se para também destacar o Uzbequistão, afirmaram os investigadores do Grupo-IB Amirbek Kurbanov e Volen Kayo num relatório publicado em colaboração com Ukuk, uma empresa estatal subordinada ao gabinete do Procurador-Geral da República do Quirguistão. Os ataques tiveram como alvo os setores financeiro, governamental e de tecnologia da informação (TI).
“Esses atores de ameaças se passariam pelo Ministério da Justiça [do Quirguistão] por meio de documentos PDF e nomes de domínio com aparência oficial, que por sua vez hospedavam arquivos Java Archive (JAR) maliciosos projetados para implantar o NetSupport RAT”, disse a empresa com sede em Cingapura.
“Esta combinação de engenharia social e ferramentas acessíveis permite que a Bloody Wolf permaneça eficaz enquanto mantém um perfil operacional discreto.”
Bloody Wolf é o nome atribuído a um grupo de hackers de origem desconhecida que usou ataques de spear-phishing para atingir entidades no Cazaquistão e na Rússia usando ferramentas como STRRAT e NetSupport. O grupo é avaliado como ativo desde pelo menos o final de 2023.
O ataque ao Quirguistão e ao Uzbequistão, utilizando técnicas de acesso inicial semelhantes, marca uma expansão das operações do agente da ameaça na Ásia Central, principalmente fazendo-se passar por ministérios governamentais de confiança em e-mails de phishing para distribuir links ou anexos armados.
As cadeias de ataque seguem mais ou menos a mesma abordagem, pois os destinatários das mensagens são induzidos a clicar em links que baixam arquivos maliciosos do carregador Java Archive (JAR), juntamente com instruções para instalar o Java Runtime.
Embora o e-mail afirme que a instalação é necessária para visualizar os documentos, a realidade é que ele é usado para executar o carregador. Uma vez iniciado, o carregador busca a carga útil do próximo estágio (ou seja, NetSupport RAT) da infraestrutura que está sob o controle do invasor e configura a persistência de três maneiras -
Criando uma tarefa agendada
Adicionando um valor de registro do Windows
Soltando um script em lote na pasta "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
A fase da campanha no Uzbequistão é notável por incorporar restrições de delimitação geográfica, fazendo com que os pedidos provenientes de fora do país sejam redirecionados para o site legítimo data.egov[.]uz. Descobriu-se que solicitações do Uzbequistão acionam o download do arquivo JAR a partir de um link incorporado no anexo em PDF.
O Group-IB disse que os carregadores JAR observados nas campanhas são construídos com Java 8, lançado em março de 2014. Acredita-se que os invasores estejam usando um gerador ou modelo JAR personalizado para gerar esses artefatos. A carga útil do NetSupport RAT é uma versão antiga do NetSupport Manager de outubro de 2013.
“Bloody Wolf demonstrou como ferramentas de baixo custo e comercialmente disponíveis podem ser transformadas em armas em operações cibernéticas sofisticadas e direcionadas regionalmente”, afirmou. “Ao explorar a confiança nas instituições governamentais e alavancar carregadores simples baseados em JAR, o grupo continua a manter uma posição forte em todo o cenário de ameaças da Ásia Central”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bloody #wolf #expande #ataques #netsupport #rat #baseados #em #java #no #quirguistão #e #no #uzbequistão
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário