🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça conhecido como Bloody Wolf foi vinculado a uma campanha direcionada ao Uzbequistão e à Rússia para infectar sistemas com um trojan de acesso remoto conhecido como NetSupport RAT.
O fornecedor de segurança cibernética Kaspersky está rastreando a atividade sob o apelido de Stan Ghouls. Sabe-se que o ator da ameaça está ativo pelo menos desde 2023, orquestrando ataques de spear-phishing contra os setores industrial, financeiro e de TI na Rússia, Quirguistão, Cazaquistão e Uzbequistão.
Estima-se que a campanha tenha feito cerca de 50 vítimas no Uzbequistão, com 10 dispositivos na Rússia também afetados. Outras infecções foram identificadas em menor grau no Cazaquistão, Turquia, Sérvia e Bielorrússia. Tentativas de infecção também foram registradas em dispositivos de organizações governamentais, empresas de logística, instalações médicas e instituições educacionais.
“Dado que Stan Ghouls tem como alvo as instituições financeiras, acreditamos que o seu principal motivo é o ganho financeiro”, observou Kaspersky. “Dito isto, o uso intenso de RATs também pode sugerir espionagem cibernética”.
O uso indevido do NetSupport, uma ferramenta legítima de administração remota, é um desvio para o ator da ameaça, que anteriormente utilizava o STRRAT (também conhecido como Strigoi Master) em seus ataques. Em novembro de 2025, o Grupo-IB documentou ataques de phishing direcionados a entidades no Quirguistão para distribuir a ferramenta.
As cadeias de ataque são bastante simples, pois e-mails de phishing carregados com anexos PDF maliciosos são usados como plataforma de lançamento para desencadear a infecção. Os documentos PDF incorporam links que, quando clicados, levam ao download de um carregador malicioso que realiza diversas tarefas -
Exibe uma mensagem de erro falsa para dar à vítima a impressão de que o aplicativo não pode ser executado em sua máquina.
Verifique se o número de tentativas anteriores de instalação do RAT é inferior a três. Se o número atingiu ou excedeu o limite, o carregador exibirá uma mensagem de erro: "Limite de tentativa atingido. Tente outro computador."
Baixe o NetSupport RAT de um dos vários domínios externos e inicie-o.
Garanta a persistência do NetSupport RAT configurando um script de execução automática na pasta Inicialização, adicionando um script de inicialização do NetSupport ("run.bat") à chave de execução automática do Registro e criando uma tarefa agendada para acionar a execução do mesmo script em lote.
A Kaspersky disse que também identificou cargas úteis do botnet Mirai instaladas na infraestrutura associada ao Bloody Wolf, levantando a possibilidade de que o ator da ameaça possa ter expandido seu arsenal de malware para atingir dispositivos IoT.
“Com mais de 60 alvos atingidos, este é um volume notavelmente alto para uma campanha direcionada sofisticada”, concluiu a empresa. “Isto aponta para os recursos significativos que estes intervenientes estão dispostos a investir nas suas operações”.
A divulgação coincide com uma série de campanhas cibernéticas dirigidas a organizações russas, incluindo as conduzidas pela ExCobalt, que aproveitou falhas de segurança conhecidas e credenciais roubadas de prestadores de serviços para obter acesso inicial às redes alvo. A Positive Technologies descreveu o adversário como um dos “grupos mais perigosos” que ataca entidades russas.
Os ataques são caracterizados pelo uso de várias ferramentas, juntamente com tentativas de desviar credenciais do Telegram e histórico de mensagens dos hosts comprometidos e credenciais do Outlook Web Access, injetando código malicioso na página de login.
CobInt, um backdoor conhecido usado pelo grupo.
Armários como Babuk e LockBit.
PUMAKIT, um rootkit de kernel para aumentar privilégios, ocultar arquivos e diretórios e ocultar-se das ferramentas do sistema, junto com iterações anteriores conhecidas como Facefish (fevereiro de 2021), Kitsune (fevereiro de 2022) e Megatsune (novembro de 2023). O uso do Kitsune também estava vinculado a um grupo de ameaças conhecido como Sneaky Wolf (também conhecido como Sneaking Leprechaun) da BI.ZONE.
Octopus, um kit de ferramentas baseado em Rust usado para elevar privilégios em um sistema Linux comprometido.
“O grupo mudou as táticas de acesso inicial, mudando o foco de atenção da exploração de vulnerabilidades de 1 dia em serviços corporativos disponíveis na Internet (por exemplo, Microsoft Exchange) para a penetração da infraestrutura do alvo principal através de contratantes”, disse a Positive Technologies.
Instituições estatais, empresas científicas e organizações de TI na Rússia também foram alvo de um ator de ameaça até então desconhecido, conhecido como Punishing Owl, que recorreu ao roubo e ao vazamento de dados na dark web. O grupo, suspeito de ser uma entidade hacktivista com motivação política, está ativo desde dezembro de 2025, com uma das suas contas de redes sociais administrada a partir do Cazaquistão.
Os ataques utilizam e-mails de phishing com um arquivo ZIP protegido por senha que, quando aberto, contém um atalho do Windows (LNK) disfarçado de documento PDF. Abrir o arquivo LNK resulta na execução de um comando do PowerShell para baixar um ladrão chamado Z
O fornecedor de segurança cibernética Kaspersky está rastreando a atividade sob o apelido de Stan Ghouls. Sabe-se que o ator da ameaça está ativo pelo menos desde 2023, orquestrando ataques de spear-phishing contra os setores industrial, financeiro e de TI na Rússia, Quirguistão, Cazaquistão e Uzbequistão.
Estima-se que a campanha tenha feito cerca de 50 vítimas no Uzbequistão, com 10 dispositivos na Rússia também afetados. Outras infecções foram identificadas em menor grau no Cazaquistão, Turquia, Sérvia e Bielorrússia. Tentativas de infecção também foram registradas em dispositivos de organizações governamentais, empresas de logística, instalações médicas e instituições educacionais.
“Dado que Stan Ghouls tem como alvo as instituições financeiras, acreditamos que o seu principal motivo é o ganho financeiro”, observou Kaspersky. “Dito isto, o uso intenso de RATs também pode sugerir espionagem cibernética”.
O uso indevido do NetSupport, uma ferramenta legítima de administração remota, é um desvio para o ator da ameaça, que anteriormente utilizava o STRRAT (também conhecido como Strigoi Master) em seus ataques. Em novembro de 2025, o Grupo-IB documentou ataques de phishing direcionados a entidades no Quirguistão para distribuir a ferramenta.
As cadeias de ataque são bastante simples, pois e-mails de phishing carregados com anexos PDF maliciosos são usados como plataforma de lançamento para desencadear a infecção. Os documentos PDF incorporam links que, quando clicados, levam ao download de um carregador malicioso que realiza diversas tarefas -
Exibe uma mensagem de erro falsa para dar à vítima a impressão de que o aplicativo não pode ser executado em sua máquina.
Verifique se o número de tentativas anteriores de instalação do RAT é inferior a três. Se o número atingiu ou excedeu o limite, o carregador exibirá uma mensagem de erro: "Limite de tentativa atingido. Tente outro computador."
Baixe o NetSupport RAT de um dos vários domínios externos e inicie-o.
Garanta a persistência do NetSupport RAT configurando um script de execução automática na pasta Inicialização, adicionando um script de inicialização do NetSupport ("run.bat") à chave de execução automática do Registro e criando uma tarefa agendada para acionar a execução do mesmo script em lote.
A Kaspersky disse que também identificou cargas úteis do botnet Mirai instaladas na infraestrutura associada ao Bloody Wolf, levantando a possibilidade de que o ator da ameaça possa ter expandido seu arsenal de malware para atingir dispositivos IoT.
“Com mais de 60 alvos atingidos, este é um volume notavelmente alto para uma campanha direcionada sofisticada”, concluiu a empresa. “Isto aponta para os recursos significativos que estes intervenientes estão dispostos a investir nas suas operações”.
A divulgação coincide com uma série de campanhas cibernéticas dirigidas a organizações russas, incluindo as conduzidas pela ExCobalt, que aproveitou falhas de segurança conhecidas e credenciais roubadas de prestadores de serviços para obter acesso inicial às redes alvo. A Positive Technologies descreveu o adversário como um dos “grupos mais perigosos” que ataca entidades russas.
Os ataques são caracterizados pelo uso de várias ferramentas, juntamente com tentativas de desviar credenciais do Telegram e histórico de mensagens dos hosts comprometidos e credenciais do Outlook Web Access, injetando código malicioso na página de login.
CobInt, um backdoor conhecido usado pelo grupo.
Armários como Babuk e LockBit.
PUMAKIT, um rootkit de kernel para aumentar privilégios, ocultar arquivos e diretórios e ocultar-se das ferramentas do sistema, junto com iterações anteriores conhecidas como Facefish (fevereiro de 2021), Kitsune (fevereiro de 2022) e Megatsune (novembro de 2023). O uso do Kitsune também estava vinculado a um grupo de ameaças conhecido como Sneaky Wolf (também conhecido como Sneaking Leprechaun) da BI.ZONE.
Octopus, um kit de ferramentas baseado em Rust usado para elevar privilégios em um sistema Linux comprometido.
“O grupo mudou as táticas de acesso inicial, mudando o foco de atenção da exploração de vulnerabilidades de 1 dia em serviços corporativos disponíveis na Internet (por exemplo, Microsoft Exchange) para a penetração da infraestrutura do alvo principal através de contratantes”, disse a Positive Technologies.
Instituições estatais, empresas científicas e organizações de TI na Rússia também foram alvo de um ator de ameaça até então desconhecido, conhecido como Punishing Owl, que recorreu ao roubo e ao vazamento de dados na dark web. O grupo, suspeito de ser uma entidade hacktivista com motivação política, está ativo desde dezembro de 2025, com uma das suas contas de redes sociais administrada a partir do Cazaquistão.
Os ataques utilizam e-mails de phishing com um arquivo ZIP protegido por senha que, quando aberto, contém um atalho do Windows (LNK) disfarçado de documento PDF. Abrir o arquivo LNK resulta na execução de um comando do PowerShell para baixar um ladrão chamado Z
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bloody #wolf #tem #como #alvo #uzbequistão #e #rússia #usando #netsupport #rat #em #campanha #de #spearphishing
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário