血腥之狼：APT 组织利用合法软件 NetSupport 的攻击链分析

引言

Bloody Wolf 是一个自 2023 年底开始活跃的高级持续性威胁（APT）组织。该组织最初使用商业恶意软件 STRRAT，后来转为部署合法的 NetSupport 远程管理工具（RAT），针对哈萨克斯坦和俄罗斯的目标进行攻击。

Group-IB 与 UKUK 的联合调查显示，Bloody Wolf 至少从 2025 年 6 月起就在吉尔吉斯斯坦开展活动。这些威胁行为者通过仿冒该国司法部的官方 PDF 文档和域名，托管旨在部署 NetSupport RAT 的恶意 Java 归档（JAR）文件。

到 2025 年 10 月初，Group-IB 分析师观察到攻击者已将活动扩展到乌兹别克斯坦，使用了与在吉尔吉斯斯坦观察到的相同的初始访问技术和基础设施。

关键发现

• Bloody Wolf 在 2025 年仍然活跃，将其业务扩展到中亚多个国家

• 该组织继续冒充政府机构，特别是司法部，以增加其诱饵的可信度

• 虽然该组织的国家归属尚未确认，但 Bloody Wolf 会制作目标当地语言的诱饵 PDF 以提高可信度，不过俄语仍然是最常用的语言

• Bloody Wolf 使用自定义的 JAR 生成器创建大量样本以供进一步分发

感染链分析

在观察到的活动中，攻击始于包含 PDF 附件的鱼叉式网络钓鱼电子邮件。PDF 冒充司法部，指示受害者打开标记为"案件材料"的嵌入式恶意链接。点击这些链接会启动感染链。

诱饵指示收件人（在电子邮件正文或附加的 PDF 中）从官方网站安装 Java 运行时，借口是需要查看文档。此策略在以前的活动中也被观察到。受害者运行下载的 Java 归档（JAR）后，JAR 有效负载会下载其他组件，并最终部署 NetSupport RAT 以进行远程控制和入侵后活动。

在乌兹别克斯坦阶段的活动中，发现交付基础设施具有地理围栏：来自乌兹别克斯坦以外的请求被重定向到合法的 data[.]egov[.]uz 网站，而该国境内的请求则触发从 PDF 中嵌入的 URL 自动下载恶意 Java 归档。

执行后，恶意软件会显示虚假错误消息，并开始从攻击者控制的域下载其他 NetSupport RAT 组件。

Bloody Wolf 的 JAR 加载器剖析

JAR 文件体积非常小，使用 Java 可能是避免防病毒检测的简便方法。Group-IB 在活动中观察到的文件是使用 2014 年发布的 Java 8 构建的，看起来 Bloody Wolf 使用自定义的 JAR 生成器或模板来创建这些二进制文件。

进一步研究表明，开发了众多 JAR 样本以供分发。它们的主要区别在于使用不同的路径下载 NetSupport 组件、注册表键和计划任务。每个样本向受害者显示不同的虚假错误消息，这些消息逻辑上与下载的 JAR 名称相关。

每个 JAR 包含单个 Java 类且没有混淆。它们唯一的任务是从嵌入的 URL 通过 HTTP 下载 NetSupport Manager 合法二进制文件，将程序添加到自动启动，并安排运行 NetSupport 二进制文件的任务。JAR 还有一个设置为"3"的启动限制计数器。它使用嵌入的文件名（即 %USERPROFILE%\Documents[Something][something].dat）将计数器保存在 %USERPROFILE%内的文件中。为了在后台进行此活动时分散用户的注意力，会显示虚假的程序错误消息。

createTempFiles函数不执行任何操作。它只打印到控制台，可能未完成或用于调试目的。

display[Something]Error函数显示虚假错误消息框。checkLaunchLimit函数读取存储启动计数器的文件并减少其值，该值从固定数字 3 开始。

execute[Something]函数下载 NetSupport 二进制文件，将它们添加到自动运行，并运行主要的 NetSupport 可执行文件。

为了持久化，它同时通过三种方式使 NetSupport 自动启动：

1. 将.bat 文件放入 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup，包含以下命令：

@echo offcd /d "C:\Users\Bruno\Documents\[Something]"start "" "[net support executable].exe"

2. 通过执行以下命令添加注册表值：

cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [something] /t REG_SZ /d "[path to net support executable]"

3. 通过运行创建计划任务：

cmd.exe /c schtasks /TN "[Something]" /TR "[path to netsupport executable]" /SC ONLOGON /RL LIMITED /F /RU "%USERNAME%"

NetSupport RAT - 武器化合法软件

NetSupport Manager 是由 NetSupport Ltd 开发的合法远程访问和管理软件，广泛用于教育、政府、医疗和企业部门。它使 IT 团队能够远程控制和支持 Windows、Mac、Linux 和移动设备。具有屏幕共享、文件传输、系统清单等功能，它可作为基于云的 RMM 工具的可靠替代品，特别是在军事和金融等高安全环境中。

Bloody Wolf 使用 2013 年的非常旧的 NetSupport Manager 版本，可能是在互联网上找到的不同许可证。

结论

Bloody Wolf 展示了如何将低成本、商业可用的工具武器化为复杂的、针对特定区域的网络操作。通过利用对政府机构的信任和简单的基于 JAR 的加载器，该组织继续在中亚威胁环境中保持强大的立足点。

这种社会工程学和易用工具的结合使 Bloody Wolf 能够保持有效，同时保持低操作特征。从传统恶意软件转向合法的远程管理软件表明其战术的持续演变，旨在逃避检测并融入正常的 IT 活动。鉴于该组织的适应性和持久性，中亚的组织应保持警惕，预计在不久的将来会继续出现鱼叉式网络钓鱼活动和不断演变的感染链。

建议

• 除非明确需要，否则阻止在用户端点上执行 JAR 文件

• 审核像 NetSupport 这样的软件的合法部署，并对未经授权的安装或不寻常的会话发出警报

• 部署能够检测高级鱼叉式网络钓鱼、恶意附件和域冒充尝试的业务电子邮件保护（BEP）平台

• 定期对员工进行当前网络钓鱼策略的教育 - 特别是假冒政府通信，敦促他们打开 PDF 或安装 Java

• 利用威胁情报源了解新兴活动、新的妥协指标（IOC）和不断发展的 TTP

• 集成来自欺诈保护的网页片段，以监控银行 Web 应用程序会话并检测 cookie 盗窃

MITRE ATT&CK

妥协指标(IOCs)

文件哈希

吉尔吉斯斯坦活动中的 NetSupport RAT 组件

乌兹别克斯坦活动中的 NetSupport RAT 组件

网络指标

• minjust-kg[.]com

• esf-kg[.]com

• audit-kg[.]com

• ach-uz[.]com

• uzaudit[.]com

• soliq-uz[.]com

• hisobot-uz[.]com

• ttbbaits[.]com

• nac-ac[.]com

• hgame33[.]com

• ravinads[.]com 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享