Технически подкованная кибергруппировка Stan Ghouls проводит масштабные операции против множества компаний в России и странах СНГ, отдавая предпочтение использованию местных наречий.
Эта хакерская организация осуществляет целенаправленные вторжения в инфраструктуру организаций, расположенных в Российской Федерации, Кыргызстане, Казахстане и Узбекистане, начиная как минимум с 2023 года, — сообщается в недавно обнародованном отчёте компании Kaspersky («Лаборатория Касперского»).
Злоумышленников в первую очередь привлекают предприятия из производственного, финансового и IT-секторов. В Kaspersky охарактеризовали атаки как тщательно спланированные и адаптированные под каждую конкретную цель, причём для отдельных кампаний была развёрнута целая инфраструктура с выделенными ресурсами.
Группа получила условное обозначение Stan Ghouls. У других поставщиков защитных решений эта же группировка фигурирует под названием Bloody Wolf.
Последняя кампания, привлёкшая внимание исследователей Kaspersky, была направлена против Узбекистана: в этой стране было обнаружено около 50 пострадавших.
Атаки также затронули примерно 10 устройств на территории Российской Федерации и ещё несколько в Казахстане, Турции, Сербии и Беларуси. В публикации на SecureList заражения в трёх последних государствах с высокой долей уверенности признаны случайными.
«В ходе исследования мы обнаружили изменения в инфраструктуре атакующих, в частности появление новых доменов. Кроме того, мы нашли свидетельства того, что группа Stan Ghouls, возможно, пополнила свой арсенал вредоносным ПО для атак на системы интернета вещей (IoT)», — говорится в отчёте.
Атаки начинаются с рассылки потенциальным жертвам фишинговых писем, содержащих вредоносные PDF-вложения, причём на местных языках, иногда с дублированием на русском. Ссылки на разных языках ведут на разные домены, однако с любой из них жертва загружает один и тот же вредоносный файл с расширением JAR.
В общей сложности эксперты Kaspersky обнаружили более 35 доменов, связанных с Stan Ghouls: операторы группировки часто меняют свою инфраструктуру, чтобы осложнить её отслеживание.
Попав в систему, загрузчик отображает пользователю поддельное сообщение об ошибке, чтобы убедить его в невозможности запуска приложения; проверяет количество предыдущих попыток установки вредоноса для удалённого доступа (если их было три или больше, выводится сообщение о «превышении лимита попыток»); и, в конечном итоге, загружает с вредоносного домена утилиту удалённого управления. Как правило, загрузчики Stan Ghouls содержат информацию о нескольких доменах и пытаются установить соединение с каждым из них, пока не найдут первый работающий в данный момент.
До прошлого года основным инструментом злоумышленников был троян удалённого доступа (RAT) STRRAT, также известный как Strigoi Master. Однако затем они изменили тактику и начали использовать легитимное программное обеспечение — NetSupport — в качестве средства управления заражённым устройством.
«Эта программа не является вредоносной по своей сути, поэтому её обнаружение в системе не вызывает немедленной реакции со стороны защитных решений, — поясняет Михаил Зайцев, специалист по кибербезопасности компании SEQ. — Использование утилит Living-off-the-Land — это давно известный и довольно распространённый метод совершения кибератак, который обычно указывает на то, что атакующие обладают уровнем технической подготовки выше среднего».
Загрузчик одновременно загружает 21 файл, имена которых жёстко заданы в коде вредоносного компонента. Если всё проходит без сбоев и файл client32.exe успешно получен, загрузчик формирует скрипт для запуска NetSupport (run.bat), помещает его в папку с остальными файлами, выполняет его, а также добавляет NetSupport в автозагрузку сразу тремя разными методами.
«После того как NetSupport RAT загружен, установлен и запущен, злоумышленники получают полный доступ к устройству жертвы. У нас недостаточно данных телеметрии, чтобы с уверенностью сказать, какие именно действия они совершают на заражённой машине. Однако, учитывая, что среди главных целей этой и других кампаний группировки находятся организации, связанные с финансовым сектором, мы предполагаем, что их основной интерес — это хищение денежных средств. При этом мы не можем исключать, что атакующие также занимаются кибершпионажем», — сообщают исследователи.
Помимо NetSupport RAT, в инфраструктуре злоумышленников были найдены файлы, относящиеся к широко известному вредоносу Mirai, который атакует устройства интернета вещей. Это позволило предположить, что операторы начали применять IoT-вредоносы в своих атаках. «На это косвенно может указывать то, что регистрационные данные этого домена последний раз обновлялись 4 июля 2025 года».
В статье подчёркивается, что сам факт успешных атак на десятки различных организаций говорит о значительных ресурсах, которыми располагают злоумышленники.
