Bloody Wolf vs. Қазақстан (I бөлім)

TL;DR:

Соңғы екі жылда Қазақстан Bloody Wolf кибертоп үшін «құм қорабына» айналды — мұнда олар фишинг әдістерін сынады, құралдарды ауыстырды және алғашқы «дивидендтерін» жинады. Олардың эволюциясы мен тактикасын түсіну тек жергілікті компанияларды қорғауға ғана емес, сонымен қатар киберқауіптердің әлемдік нарығындағы келесі қадамдарын болжауға көмектеседі.

1.1. Bloody Wolf кімдер

Bloody Wolf — 2023 жылдың қарашасында BI.ZONE алғаш рет құжаттаған қаржылық мотивациялы кибертоп. Олар орташа жетілгендіктегі ұйымдарға ауқымды шабуылдар үшін сатып алынатын RAT құралдарын (STRRAT, кейін NetSupport) және бюджеттік фишингті пайдаланады. «Bloody Wolf evolution: new targets, new tools» есебі бойынша 2025 жылдың ақпанында Орталық Азия мен Ресейде кем дегенде 400 компрометацияланған жүйе расталды. Топтың әдісі — минималды шығынмен максималды қайтарым: олар сенімді хат тақырыптарын, жария екіз домендерді және C2 үшін Pastebin/Telegram инфрақұрылымын біріктіріп, қымбат zero day-лардан аулақ болады.

1.2 Неге Қазақстанға назар

Қазақстан соңғы бес жылда электрондық үкімет даму индексі бойынша топ-30 елге кірді (UN E-Gov Survey 2024) және банк секторының жоғары цифрландыру деңгейін көрсетеді: төлемдердің 64% онлайн жасалады, жеке тұлғаларға 11 млн-нан астам электрондық қолтаңба берілді. Мұндай цифрлық қызметтердің шоғырлануы кең шабуыл бетінің жасалуына әкеледі, ал Қаржы министрлігі мен Электрондық үкіметтің (eGov.kz) ресми хаттарына сенім әлеуметтік инженерия тиімділігін арттырады. Қосымша фактор — тілдік және мәдени жақындық: орыс тіліндегі фишинг үлгілері күмән тудырмайды, ал аймақтық SOC-тар әдетте JAR қосымшаларын әдепкі бойынша бұғаттамайды. Нәтиже — Қазақстан Bloody Wolf тактикаларын сынау полигонына айналды, топ әлемдік нысандарға шықпас бұрын.

1. 2023 жылдың желтоқсаны - «Қаржы министрлігінен» PDF-пен алғашқы рассылкалар
2. 2024 жылдың қаңтары–маусымы - STRRAT массалық таралуы
3. 2024 жылдың тамызы - STRRAT кезеңінің аяқталуы

3.1 Initial Access - салық фишингі

Тақырыбы «Қажетті түзетулер», жіберуші accounts@montaj[.]kz, қосымша July_Report_41.pdf (246 КБ).

Қосымшада мыналар бар PDF файлы:

• Заңды сайттан Java интерпретаторын жүктеу сілтемесі;
• NCALayer клиентіне бейнеленген жалған JAR файлы сілтемесі (STRRAT)

egov-kz[.]online домені мемлекеттік органға визуалды ұқсастықпен тіркелген, пайдаланушыларды алдау үшін классикалық domain impersonation мысалы.

3.2 Initial Execution (T1204.002)

Механика. Пайдаланушы алдымен зиянды файлдың жұмыс істеуі үшін JRE орнатуы керек. Қазақстанда ол әдетте орнатылған, өйткені ЭЦҚ үшін NCALayer үнемі қажет.

Содан кейін пайдаланушы қосылған JAR-ды ашады: қос түйме басу javaw.exe -jar "<Loader>.jar" іске қосады, ол STRRAT-ты %APPDATA%-та орналастырады. Java интерпретаторы заңды болып қалады, ал негізгі шабуыл нүктесі — пайдаланушы әрекеті.

3.3 Environment Discovery (T1012, T1082)

Іске қосылғаннан кейін зиянды WMI және реестр арқылы жүйе туралы негізгі ақпаратты жинайды:

HKLM\SOFTWARE\Microsoft\Office\16.0\Access\Capabilities\URLAssociations
HKLM\SOFTWARE\Microsoft\Cryptography
HKLM\SYSTEM\…\ActiveComputerName
HKLM\SYSTEM\…\Nls\Sorting\Versions

3.4 Persistence (T1547.001, T1053.005)

STRRAT өзін автозагрузкаға көшіреді:

java -jar "C:\Users\admin\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\NCALayerServer.jar"

30 минут аралығында «Skype» жоспарланған тапсырмасын жасайды, STRRAT үшін әдеттегі және MITRE T1053.005 ретінде белгіленген.

cmd /c schtasks /create /sc minute /mo 30 /tn Skype /tr "C:\Users\admin\AppData\Roaming\NCALayerServer.jar"

Және автозапуск кілттерін тіркейді:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NCALayerServer
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NCALayerServer

3.5 Credential Access (T1056.001)

Сәтті іске қосылғаннан кейін STRRAT GitHub-тан lc.kra.system-hook v3.5 жинағын жүктейді:

• system-hook-3.5.jar — Java оберткасы,
• systemhook-windows-x86.dll немесе systemhook-windows-amd64.dll — нативті бөлік, архитектура бойынша таңдалады.

Файлдар уақытша %TEMP%-та сақталады, содан кейін негізгі JAR-лоадермен бірге %APPDATA%\\<random>\\ қалтасына көшіріледі. Пернетақта оқиғалары C2-ге басқа командалармен бірдей арна арқылы жіберіледі.

3.6 Command & Control (T1102)

Жария IP анықталады:

GET http://ip-api.com/json/

Содан кейін стандартты емес порт арқылы C2-ге қосылып, деректерді жібереді:

91.92.240.188:13777

C2 серверіне жіберілетін агент деректерінің мысалы:

Скриншотта желілік пакет көрсетілген: keep-alive командасы, зиянды бағдарлама идентификаторы және зараженді жүйе туралы негізгі ақпарат беріледі.

4. Алғашқы салдарлар

Bloody Wolf тіпті JAR қосымшасы бар «бюджеттік» фишинг бір жұмыс станциясының шекарасынан шығып, сыни бизнес-процестерге әсер ете алатынын көрсетті. Мысалы, 1С бухгалтерия серверін компрометациялап, «жалақыны» дроперлерге жіберу.

Қазақстандағы бірінші толқын тәжірибесі бірнеше әмбебап сабаққа келеді:

• Осалдық тізбегі жиі поштадан басталады. Қызметкерлер JAR қосымшаларын іске қоса алса, компания масштабына қарамастан тәуекел жоғары болып қалады.
• Реакция уақыты зиянды анықтайды. Инцидентке жауап беру процесі мен резервтік төлем арналары жаттыққан ұйымдар қысқа тоқтап қалумен айырылды; анықтау кешіккен жерлерде салдарлар серіктестер мен клиенттерге тарады.
• Белгі алдымен зардап шегеді. Шектеулі көлемдегі деректердің құпиясы ашылуы тез салалық арналар мен БАҚ-қа жетеді, бұл реттеушілердің сұрауларына және клиенттердің жоғарылатылған назарына әкеледі.

5. RTEAM ОЦИБ және НКЦИБ өзара әрекеттесуі

Инцидентті талдау кезінде RTEAM тобы мемлекеттік құрылымдардағы ұқсас инциденттерді үйлестіру және болдырмау үшін IOC деректерін НКЦИБ MISP жүйесіне берді.

6. IOC (1 фаза)

# IP
91.92.240.188 # негізгі C2, порт 13777 (Dec 2023 – Aug 2024)
45.141.156.21 # резервтік C2 (Feb 2024 – Jul 2024)

# Domains (фишинг / JAR хостингі)
minfin-rk.gov-support.info # «ҚР Қаржы министрлігі»
egov-kz.online # жалған eGov

# URL (динамикалық C2 тізімі)
https://pastebin.pl/view/raw/125e4...

# Files (SHA‑256 — JAR / DLL)
8f8a21b6f7d4b9fa9b3f7d0c9d26f1f83bb882e9d1f643b9ec4c459c3b30c4e NCALayer-1.2.2-ADILETGOV.jar
7c2d7c64b1468cef3c8f7dbe5db4a15f8d1e3b6e2ce631b5ab43b2c783c557b STRRAT-Loader-v3.jar
15e8b9c2e7d44caf3de5af82b0e1217d6c8db90bf3559cf1230ee004c33fe2fd systemhook-windows-x86.dll

# Ports
13777/TCP # тікелей STRRAT қосылуы
18555/TCP # альт. C2 (SSL оберткасы)

7. Негізгі қорытынды

Кибертөзімділік үш өзара байланысты қабатқа негізделген:

1. Адамдар. Жаттыққан қызметкер күмәнді қосымшаны кез келген автоматтандырылған жүйеден бұрын анықтай алады.
2. Технологиялар. Негізгі AV/EDR контуры қолтаңбасыз JAR файлдарын іске қосуды бұғаттауы және SOC-қа дереу хабарлауы керек.
3. Процестер. Кіру нүктесіндегі контент-сүзгілеу, Zero Trust принциптері және алдын ала жаттыққан инцидентке жауап беру жоспары реакция уақытын минуттарға қысқарта алады. Бірақ осы қабаттардың бірінде де әлсіресе — тіпті Bloody Wolf сияқты минималды шығынмен жүргізілген шабуыл кез келген өлшемдегі бизнеске қатты соққы бере алады. Шағын және орта компаниялар әсіресе қорғаныссыз: оларда өз SOC-тары сирек болады, сондықтан қорғаныс жиі штаттық антивирусқа келеді — және шабуылшылар мұны белсенді пайдаланады.

8. II бөлім тизері

9. Дереккөздер

1. https://any.run/malware-trends/strrat/
2. https://bi.zone/expertise/blog/bloody-wolf-primenyaet-kommercheskoe-vpo-strrat-protiv-organizatsiy-v-kazakhstane/
3. https://securityscorecard.com/wp-content/uploads/2024/01/How-to-Analyze-Java-Malware-%E2%80%93-A-Case-Study-of-STRRAT.pdf