В Казахстане организации подверглись атаке со стороны группы злоумышленников, известной как Bloody Wolf. Эта группа распространяет вредоносное программное обеспечение под названием STRRAT, также известное как Strigoi Master.
Согласно анализу компании BI.ZONE, которая занимается разработкой решений для кибербезопасности, программа стоит всего 80 долларов на теневых ресурсах. С её помощью злоумышленники могут получить контроль над корпоративными компьютерами и похищать конфиденциальные данные.
В качестве начального этапа кибератак используются фишинговые письма. Злоумышленники выдают себя за представителей Министерства финансов Республики Казахстан и других ведомств, чтобы обманом заставить получателей открыть вложения в формате PDF.
Файл предположительно является уведомлением о несоответствии требованиям и содержит ссылки на вредоносный файл архива Java (JAR), а также руководство по установке интерпретатора Java, необходимого для функционирования вредоносного ПО.
В попытке придать атаке легитимность вторая ссылка ведет на веб-страницу, связанную с сайтом правительства страны, которая призывает посетителей установить Java, чтобы обеспечить работоспособность портала.
Вредоносная программа STRRAT, размещенная на веб-сайте, имитирующем веб-сайт правительства Казахстана («egov-kz[.]online»), устанавливает постоянство на хосте Windows посредством изменения реестра и запускает файл JAR каждые 30 минут.
Более того, копия JAR-файла копируется в папку автозагрузки Windows, чтобы обеспечить его автоматический запуск после перезагрузки системы.
После успешной атаки вредоносная программа устанавливает соединение с сервером Pastebin для сбора конфиденциальной информации со взломанного компьютера. В частности, она получает сведения о версии операционной системы и установленном антивирусном программном обеспечении. Также злоумышленники получают данные учётных записей из браузеров Google Chrome, Mozilla Firefox, Internet Explorer, почтовых клиентов Foxmail, Outlook и Thunderbird.
Программа также предназначена для получения дополнительных команд с сервера. Эти команды могут включать загрузку и выполнение дополнительных полезных данных, регистрацию нажатий клавиш, запуск команд через cmd.exe или PowerShell, перезапуск или выключение системы, установку прокси-сервера и самоудаление.
BI.ZONE отмечает, что использование менее распространённых типов файлов, таких как JAR, позволяет злоумышленникам обходить защиту. А использование легитимных веб-сервисов, таких как Pastebin, для связи с скомпрометированной системой позволяет обойти решения сетевой безопасности.