Исследователи из Лаборатории Касперского сообщают о детектировании активности группировки Stan Ghouls (Bloody Wolf), нацеленной на Узбекистан и Россию с использованием NetSupport RAT.

Группа действует как минимум с 2023 года на российском, киргизском, казахском и узбекском направлениях, фокусирует на финансовых, производственных и IT компаниях, атаки готовит тщательно, адаптируясь под конкретных жертв, включая инфраструктуру, и задействуя семейство специальных вредоносных загрузчиков на Java.

В общей сложности на счету Stan Ghouls в рамках новой наблюдаемой кампании примерно 50 жертв в Узбекистане, 10 - в России, а также еще несколько в Казахстане, Турции, Сербии и Беларуси (вероятно, что заражения в последних трех странах носили случайный характер).

Stan Ghouls использует в качестве первоначального вектора фишинговые электронные письма, содержащие вредоносные PDF-вложения. Это подтверждают и результаты исследований коллег ЛК (1, 2, 3).

Почти все фишинговые письма и файлы-приманки содержат текст на узбекском, что согласуется с их прошлыми атаками, где также применялись языки стран-целей.

Большинство жертв относятся к промышленному производству, сфере финансов и IT.

Кроме того, фиксировались попытки заражений устройств в госорганизациях, логистических компаниях, учебных и медицинских учреждениях.

Примечательно, что более 60 жертв - это довольно много для одной таргетированной кампании, включающей атаки с существенным участием операторов. Это указывает на готовность инвестировать значительные ресурсы в свою деятельность. 

Поскольку Stan Ghouls активно атакует финансовые организации, мы полагаем, что основная мотивация этой группы финансовая.

При этом стоит отметить, что злоумышленники используют RAT-ники, что может также указывать на кибершпионаж.

Ранее основным инструментом злоумышленников выступал STRRAT, также известный как Strigoi Master, однако с прошлого года они начали использовать легитимное ПО NetSupport в качестве средства управления зараженной машиной.

Как показали новые наблюдения, Stan Ghouls продолжает использовать прежний набор инструментов, включая легитимную утилиту удаленного управления NetSupport, а также уникальный вредоносный загрузчик, написанный на Java.

Злоумышленники активно обновляют только инфраструктуру.

В частности, для этой вредоносной кампании они использовали два новых домена для размещения своего вредоносного загрузчика и один новый домен для хостинга файлов NetSupport RAT.

Любопытной находкой стали файлы Mirai на одном из доменов, фигурировавших в прошлых кампаниях группы, что может указывать на то, что операторы этой группы начали использовать вредоносное ПО для IoT-систем. Однако достоверно это утверждать пока сложно.

Подробный технический разбор и IOCs - в отчете.

В ЛК также отмечают, что дополнительные индикаторы и правило YARA для детектирования активности Stan Ghouls доступны клиентам сервиса Threat Intelligence.

Исследователи Palo Alto Networks сообщают об обнаружении новой APT, действующей из Азии, которая за последний год взломала сети как минимум 70 правительственных организаций и объектов КИИ в 37 странах.

Причем в период с ноября по декабрь 2025 года группа проводила активную разведку правительственной инфраструктуры более 155 стран.

Среди организаций, которые были взломаны, - пять национальных правоохранительных органов и пограничных служб, три министерства финансов и другие правительственные учреждения и ведомства, связанные с экономикой, торговлей, природными ресурсами и дипслужбой.

Деятельность этой группы отслеживается компанией как TGR-STA-1030. Имеющиеся данные свидетельствуют о том, что она активная как минимум с января 2024 года.

Хотя страна происхождения хакеров остается неясной, предполагается, что они азиатского происхождения, учитывая использование региональных инструментов и сервисов, предпочтения в выборе языка, целевую аудиторию, соответствующую событиям и разведывательным данным, представляющим интерес для региона, а также часы работы по Гринвичу (GMT+8).

Как отмечают в Palo Alto Networks, злоумышленник успешно получил доступ к почтовым серверам жертв и похитил оттуда конфиденциальные данные, которые среди прочего включали финансовую переписку, данные по контрактам, банковские и учетные данные, а также важные оперативные сводки, касающиеся военных операций.

Цепочка заражения начинается с фишингового письма, посредством которого получателей побуждают перейти по ссылке на новозеландский файловый хостинг MEGA, где размещается ZIP-архив с исполняемым файлом Diaoyu Loader, а также файл pic1.png размером в 0 байт.

Вредоносная ПО использует двухступенчатую систему защиты от автоматического анализа в песочнице. Помимо аппаратных требований к горизонтальному разрешению экрана, равному или превышающему 1440, образец выполняет проверку зависимостей среды для конкретного файла (pic1.png) в каталоге выполнения.

Изображение в формате PNG служит для проверки целостности файла, что приводит к завершению работы вредоносной ПО перед началом ее активности в случае, если оно отсутствует в том же месте.

Только после выполнения этого условия вредоносная ПО проверяет наличие определенных защитных решений от Avira (SentryEye.exe), Bitdefender (EPSecurityService.exe), Kaspersky (Avp.exe), Sentinel One (SentinelUI.exe) и Symantec (NortonSecurity.exe). При этом непонятно, почему только эти.

Конечная цель загрузчика - доставка трех изображений (admin-bar-sprite.png, Linux.jpg и Windows.jpg) из репозитория GitHub под названием WordPress, которые служат каналом для развертывания полезной нагрузки Cobalt Strike.

Кроме того, TGR-STA-1030 пыталась использовать различные 0-day, затрагивающие большое количество программных решений Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault и Eyou Email System, чтобы получить первоначальный доступ к целевым сетям. Однако доказательств разработки или задействования каких-либо эксплойтов не получено.

Среди инструментария злоумышленников: C2-фреймворки (Cobalt Strike. VShell, Havoc, Sliver, SparkRAT), веб-оболочки (Behinder, neo-reGeorg, Godzilla), средства тунелирования (GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX).

Стоит отметить, что использование упомянутых веб-оболочек часто связывают с китайскими хакерскими группами.

Еще один примечательный инструмент - руткит ядра Linux под кодовым названием ShadowGuard, который использует Extended Berkeley Packet Filter (eBPF) для перехвата критически важных системных вызовов с целью скрытия определенных процессов от инструментов анализа, таких как ps, а также для сокрытия каталогов и файлов с именем swsecret.

Группа регулярно арендует и настраивает свои серверы С2 на инфраструктуре, принадлежащей различным легитимным и широко известным провайдерам VPS. Для подключения к С2 арендует дополнительную инфраструктуру VPS, которую использует для ретрансляции трафика.

Технические подробности и IOCs - в отчете.

Способы обмена данными между приложением и драйвером. Бесплатный вебинар — 19 февраля в OTUS

Обмен данными между пользовательским приложением и драйвером — ключевая тема как для разработки, так и для реверс-инжиниринга драйверов Windows. Без понимания этих механизмов невозможно корректно анализировать поведение низкоуровневого ПО.

— На открытом уроке разберём основные способы взаимодействия user-mode и kernel-mode.
— Поговорим про IRP-пакеты, IOCTL и различные типы ввода-вывода — буферизованный, прямой и небуферизованный.
— На практике покажем, как реализовать обмен данными между приложением и драйвером разными способами.

Урок подойдёт системным программистам и вирусным аналитикам, работающим с драйверами и внутренним устройством Windows.
👉 Записаться: https://otus.pw/V1MF/

Этот вебинар проходит в формате открытого урока в прямом эфире курса «Reverse Engineering».

Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576

В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.

Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.

Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.

Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.

Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.

На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.

В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.

Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.

Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.

Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.

Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.

Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.

В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.

Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.

Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.

Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.

Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.

Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.

В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.

Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.

Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.

Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.

Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.

Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.

Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.

При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.

При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.

Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.

После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.

Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.