Bloody Wolf Hackers Attacking Organizations to Deploy NetSupport RAT and Gain Remote Access

กลุ่มอาชญากรไซเบอร์ Stan Ghouls หรือที่รู้จักกันในชื่อ Bloody Wolf ได้เปิดฉากโจมตีเป้าหมายอย่างซับซ้อนต่อองค์กรต่างๆ ในรัสเซียและอุซเบกิสถาน กลุ่มนี้เริ่มเคลื่อนไหวตั้งแต่ปี 2023 โดยพุ่งเป้าไปที่ภาคการผลิต การเงิน และไอที จากเดิมที่ใช้โทรจันเข้าถึงระยะไกล STRRAT ตอนนี้พวกเขาเปลี่ยนกลยุทธ์มาใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายอย่าง NetSupport Manager เพื่อให้การโจมตีกลมกลืนไปกับกิจกรรมการดูแลระบบปกติ การโจมตีเริ่มต้นด้วยอีเมล Spear-phishing ที่กำหนดเป้าหมายอย่างแม่นยำและแนบไฟล์ PDF ที่เป็นอันตราย ซึ่งนำไปสู่การดาวน์โหลด Java-based loader แบบกำหนดเองเพื่อติดตั้ง NetSupport RAT กลุ่มนี้มีการเปลี่ยนโดเมน C2 บ่อยครั้งเพื่อหลีกเลี่ยงการตรวจจับ และสามารถเข้าถึงเหยื่อได้เกือบ 60 รายในการโจมตีระลอกล่าสุด

Severity: สูง

System Impact:

• องค์กรในรัสเซีย
• องค์กรในอุซเบกิสถาน
• ภาคการผลิต
• ภาคการเงิน
• ภาคไอที
• ระบบปฏิบัติการ Windows (ผ่านกลไกการคงอยู่เช่น Startup folder และ Registry Run key)

Technical Attack Steps:

1. การเข้าถึงเริ่มต้น: ส่งอีเมล Spear-phishing ที่มีเนื้อหาเป็นภาษาท้องถิ่น (เช่น อุซเบก) ปลอมแปลงเป็นประกาศของรัฐบาลหรือกฎหมาย
2. การส่ง Payload: ไฟล์ PDF ที่แนบมากับอีเมลมีลิงก์ไปยัง Java-based loader แบบกำหนดเอง
3. การดำเนินการและการหลีกเลี่ยงการตรวจจับ: เมื่อ Loader ทำงาน จะแสดงหน้าต่างข้อผิดพลาดปลอมเพื่อเบี่ยงเบนความสนใจของเหยื่อ และในขณะเดียวกันก็ดาวน์โหลดส่วนประกอบของ NetSupport RAT จากเซิร์ฟเวอร์ระยะไกล นอกจากนี้ยังมีกลไกตรวจสอบเพื่อยุติการทำงานหากการติดตั้งล้มเหลวสามครั้งเพื่อหลีกเลี่ยง Sandbox
4. การคงอยู่ของระบบ: มัลแวร์จะสร้างกลไกการคงอยู่ของระบบโดยการวางสคริปต์ Batch ชื่อ SoliqUZ_Run.bat ในโฟลเดอร์ Windows Startup เพิ่มคำสั่งรันใน Registry Run key และสร้าง Scheduled Task
5. วัตถุประสงค์: ติดตั้ง NetSupport RAT เพื่อให้ผู้โจมตีสามารถเข้าถึงระบบจากระยะไกลและดำเนินการภายในเครือข่ายของเหยื่อได้

Recommendations:

Short Term:

• ตรวจสอบเครื่องมือเข้าถึงระยะไกลที่ไม่ได้รับอนุญาตอย่างใกล้ชิด
• ตรวจสอบการเรียกใช้งานโปรเซสจากโฟลเดอร์ Windows Startup อย่างละเอียด

Long Term:

• เสริมสร้างความตระหนักด้านความปลอดภัยไซเบอร์ให้แก่พนักงานเพื่อระบุและรายงานอีเมล Spear-phishing
• ใช้โซลูชันความปลอดภัยอีเมลขั้นสูงเพื่อตรวจจับและป้องกันอีเมลฟิชชิ่ง
• ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันไวรัส/มัลแวร์และ Endpoint Detection and Response (EDR) บนทุกอุปกรณ์
• ใช้การทำ Whitelisting/Blacklisting ของแอปพลิเคชันเพื่อควบคุมการรันซอฟต์แวร์ที่ไม่ได้รับอนุญาต
• ตรวจสอบและตรวจสอบบันทึกการเริ่มต้นระบบและ Scheduled Tasks เป็นประจำเพื่อหากิจกรรมที่น่าสงสัย
• ปรับใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ในแนวนอนของการโจมตีหากเกิดการบุกรุก

Source: https://cybersecuritynews.com/bloody-wolf-hackers-attacking-organizations/