哈萨克斯坦组织成为“血狼”网络攻击的目标

哈萨克斯坦的组织是名为“Bloody Wolf”的威胁活动集群的目标，该集群传播名为“STRRAT”（又名“Strigoi Master”）的商品恶意软件。

网络安全供应商 BI.ZONE 在一份新的分析中表示：“该程序的地下资源售价仅为 80 美元，使对手能够控制公司计算机并劫持受限数据。”

这些网络攻击利用网络钓鱼电子邮件作为初始访问媒介，冒充哈萨克斯坦共和国财政部和其他机构，诱骗收件人打开 PDF 附件。

该文件声称是不合规通知，并包含恶意 Java 存档 (JAR) 文件的链接以及恶意软件运行所需的 Java 解释器的安装指南。

为了使攻击具有合法性，第二个链接指向与该国政府网站相关的网页，该网页敦促访问者安装 Java 以确保门户网站正常运行。

STRRAT 恶意软件托管在模仿哈萨克斯坦政府网站（“egov-kz[.]online”）的网站上，通过注册表修改在 Windows 主机上建立持久性，并每 30 分钟运行一次 JAR 文件。

此外，JAR 文件的副本会复制到 Windows 启动文件夹中，以确保它在系统重新引导后自动启动。

随后，它与 Pastebin 服务器建立连接，以从受感染的计算机中窃取敏感信息，包括有关操作系统版本和安装的防病毒软件的详细信息，以及来自 Google Chrome、Mozilla Firefox、Internet Explorer、Foxmail、Outlook 和 Thunderbird 的帐户数据。

它还可以从服务器接收其他命令，以下载和执行更多负载、记录击键、使用 cmd.exe 或 PowerShell 运行命令、重新启动或关闭系统、安装代理以及删除自身。

BI.ZONE 表示：“使用 JAR 等不太常见的文件类型可以使攻击者绕过防御。使用 Pastebin 等合法 Web 服务与受感染的系统进行通信，可以规避网络安全解决方案。”