Stan Ghouls NetSupport RAT orqali Markaziy Osiyoni nishonga olmoqda

Feb 10

6 min read

Mazkur maqola Kaspersky manbasidan tarjima qilindi va ular tilidan yozildi:

Kirish

Stan Ghouls (Bloody Wolf nomi bilan ham tanilgan) - kamida 2023-yildan beri Rossiya, Qirg‘iziston, Qozog‘iston va O‘zbekistondagi tashkilotlarga qarshi maqsadli hujumlar uyushtirib kelayotgan kiberjinoyatchi guruhdir.

Ushbu hujumchilar asosan sanoat , moliya va Axborot Texnologiyalari sohalarini nishonga oladi. Ularning kampaniyalari juda puxta rejalashtirilgan bo‘lib, aniq qurbonlarga moslashtiriladi; ularda maxsus Java asosidagi zararli dastur yuklovchilari (loaderlar) to‘plami hamda alohida kampaniyalar uchun ajratilgan manbalarga ega keng infratuzilma mavjud.

Biz Stan Ghouls faoliyatini doimiy ravishda kuzatib boramiz va mijozlarimizni ularning taktikalari, texnikalari, muolajalari (TTP) hamda so‘nggi kampaniyalari haqida josuslik ma’lumotlari bilan ta’minlaymiz. Ushbu maqolada O‘zbekistonga qaratilgan kampaniya bo‘yicha o‘tkazilgan eng so‘nggi chuqur tahlilimiz natijalari bilan o‘rtoqlashamiz.

Unda taxminan 50 nafar qurbon aniqlangan. Shuningdek, Rossiyada qariyb 10 ta qurilma zararlangan, Qozog‘iston, Turkiya, Serbiya va Belarusda esa bir necha holatlar qayd etilgan (biroq so‘nggi uchtasi ehtimol tasodifiy zarar bo‘lgan).

Tergov davomida hujumchilarning infratuzilmasida o‘zgarishlar, xususan yangi domenlar to‘plami paydo bo‘lganini aniqladik. Shuningdek, Stan Ghouls o‘z arsenaliga IoT qurilmalariga yo‘naltirilgan zararli dasturlarni ham qo‘shgan bo‘lishi mumkinligini ko‘rsatuvchi dalillarni topdik.

Texnik tafsilotlar

Tahdidning rivojlanishi

Stan Ghouls dastlabki kirish nuqtasi sifatida zararli PDF biriktirmalari joylangan fishing xatlariga tayanadi. Tarixan, guruhning asosiy quroli STRRAT (shuningdek Strigoi Master nomi bilan tanilgan) masofadan boshqariladigan troyan (RAT) bo‘lgan. Biroq o‘tgan yili ular strategiyani o‘zgartirib, zararlangan qurilmalar ustidan nazoratni saqlab qolish uchun qonuniy dastur — NetSupportni suiiste’mol qilishni boshladi.

Stan Ghoulsning moliyaviy institutlarni nishonga olishini inobatga olib, ularning asosiy maqsadi moliyaviy foyda ekaniga ishonamiz. Shunga qaramay, RATlardan keng foydalanilishi kiberjosuslik ehtimolini ham ko‘rsatishi mumkin.

Boshqa har qanday tashkilotlashgan kiberjinoyatchi guruhlar kabi, Stan Ghouls infratuzilmasini tez-tez yangilab turadi. Ularning kampaniyalarini samarali kuzatib borish uchun faoliyatini doimiy tahlil qilib borish zarur.

Dastlabki yuqtirish kengligi

Avval ta’kidlaganimizdek, Stan Ghoulsning asosiy - va hozircha yagona yetkazib berish usuli spiyr-fishing (spear-phishing) hisoblanadi. Xususan, ular zararli PDF fayllari biriktirilgan elektron pochta xatlarini afzal ko‘rishadi. Bu holat sohadagi bir qator hamkorlarimiz tadqiqotlari bilan ham tasdiqlangan (1, 2, 3).

Qiziq jihati shundaki, hujumchilar rus yoki ingliz tili kabi xalqaro tillarni tanlash o‘rniga, mahalliy tillardan foydalanishni afzal ko‘rishadi. Quyida Qirg‘izistondagi foydalanuvchilarni nishonga olgan avvalgi kampaniyalardan birida aniqlangan elektron xatga misol keltirilgan.

Oldingi Stan Ghouls kampaniyasidan olingan fishing elektron pochtasiga misol

Elektron xat qirg‘iz tilida yozilgan bo‘lib, uning tarjimasi quyidagicha:“Xizmat siz bilan bog‘landi. Ko‘rib chiqish uchun materiallar ilova qilindi. Hurmat bilan.”

Ilova sifatida“Постановление_Районный_суд_Кчрм_3566_28-01-25_OL4_scan.pdf” nomli zararli PDF fayl biriktirilgan bo‘lib, nomi rus tilida yozilgan va u tuman sudi qarori sifatida niqoblangan.

So‘nggi kampaniyada, asosan O‘zbekistondagi qurbonlarni nishonga olgan hujumchilar o‘zbek tilida yozilgan spiyr-fishing (spear-phishing) elektron xatlaridan foydalangan:

So'nggi kampaniyadan olingan spiyr-fishing elektron pochtasiga misol

E-SUD_705306256_ljro_varaqasi.pdf (MD5: 7556e2f5a8f7d7531f28508f718cb83d) nomli birikma standart bir sahifali aldov PDF faylidir:

E’tibor bering, hujumchilar “ish materiallari” (aslida esa zararli loader) faqat Java Runtime Environment (JRE) yordamida ochilishi mumkinligini da’vo qilishadi.

Hatto qurbon uchun rasmiy veb-saytdan yuklab olib o‘rnatish havolasini ham “yordam tariqasida” taqdim etishadi.

Zararli loader

Soxta (aldamchi) hujjatda rus va o‘zbek tillarida bir xil matn joylashgan bo‘lib, u zararli loaderga olib boruvchi ikkita havolani o‘z ichiga oladi:

O‘zbekcha havola (“- Ish materiallari 09.12.2025 y”): https://mysoliq-uz[.]com/api/v2/documents/financial/Q4-2025/audited/consolidated/with-notes/financials/reports/annual/2025/tashkent/statistical-statements/
Ruscha havola (“- Материалы дела 09.12.2025 г.”): https://my-xb[.]com/api/v2/documents/financial/Q4-2025/audited/consolidated/with-notes/financials/reports/annual/2025/tashkent/statistical-statements/

Har ikkala havola ham bir xil JAR faylga olib boradi:

(MD5: 95db93454ec1d581311c832122d21b20).

Shuni ta’kidlash joizki, bu hujumchilar infratuzilmani doimiy ravishda yangilab borishadi va har bir yangi kampaniya uchun yangi domenlarni ro‘yxatdan o‘tkazishadi. Ushbu tahdidning nisbatan qisqa tarixiga qaramay, biz allaqachon Stan Ghouls bilan bog‘liq 35 dan ortiq domenni xaritaladik.

Zararli loader uchta asosiy vazifani bajaradi:

Soxta xato xabarini ko‘rsatish - foydalanuvchini ilova ishlamayapti, deb o‘ylashga majbur qilish uchun. Skrinshotdagi xabar tarjimasi:“Ushbu ilovani sizning operatsion tizimingizda ishga tushirib bo‘lmaydi. Iltimos, boshqa qurilmadan foydalaning.”
Yolg'on xatolik xabari
Oldingi RAT o‘rnatish urinishlari sonini tekshirish - agar urinishlar uch martadan oshgan bo‘lsa, loader ishini to‘xtatadi va yuqoridagi xato xabarini chiqaradi.
RAT yuklab olish urinishlari sonini tekshirish uchun limitCheck muolajasi
Masofadan boshqarish vositasini zararli domen orqali yuklab olish va uni qurbon qurilmasida saqlash. Stan Ghouls loaderlari odatda bir necha domenlardan iborat ro‘yxatni o‘z ichiga oladi va faol (ishga yaroqli) domen topilguncha ularning barchasini ketma-ket tekshirib chiqadi.

**Masofadan boshqarish vositasini yuklab olish uchun performanceResourceUpdate muolajasi**

Loader quyidagi fayllarni yuklab oladi - ular NetSupport RATning tarkibiy qismlarini tashkil etadi:PCICHEK.DLL, client32.exe, advpack.dll, msvcr100.dll, remcmdstub.exe, ir50_qcx.dll, client32.ini, AudioCapture.dll, kbdlk41a.dll, KBDSF.DLL, tcctl32.dll, HTCTL32.DLL, kbdibm02.DLL, kbd101c.DLL, kbd106n.dll, ir50_32.dll, nskbfltr.inf, NSM.lic, pcicapi.dll, PCICL32.dll, qwave.dll.

Ushbu ro‘yxat zararli loader kodiga qattiq biriktirilgan (hardcoded).

Yuklab olish muvaffaqiyatli bo‘lganini tekshirish uchun u client32.exe bajariluvchi faylining mavjudligini nazorat qiladi. Agar fayl topilsa, loader NetSupportni ishga tushirish skripti (run.bat)ni yaratadi, uni qolgan fayllar joylashgan jildga joylaydi va ishga tushiradi.

run.bat faylini yasash va bajarish uchun createBatAndRun muolajasi, keyin esa NetSupport RAT ni ishga tushiradi.

Loader, shuningdek, NetSupportning tizimda doimiy saqlanib qolishini (persistence) ta’minlash uchun uni avto-ishga tushirish (startup)ga quyidagi uch usul orqali qo‘shadi:

a) SoliqUZ_Run.bat nomli avto-ishga tushirish skriptini yaratadi va uni Startup jildiga joylaydi.

Batch faylni yaratish va uni Startup jildiga joylashtirish uchun generateAutorunScript muolajasi

b) run.bat faylini registrdagi avto-ishga tushirish kalitiga qo‘shadi: (HKCU\Software\Microsoft\Windows\CurrentVersion\Run\malicious_key_name).

RAT ishga tushirish skriptini registry autorun kalitiga qo'shish uchun registryStartupAdd muolajasi

c) Rejalashtirilgan vazifa (scheduled task) yaratadi va u orqali run.bat faylini ishga tushiradi. Buning uchun quyidagi buyruqdan foydalaniladi:

schtasks Create /TN "[malicious_task_name]" /TR "[path_to_run.bat]" /SC ONLOGON /RL LIMITED /F /RU "[%USERNAME%]"

NetSupport RATni ishga tushirish uchun rejalashtirilgan vazifani yaratish uchun installStartupTask muolajasi (run.bat orqali)

NetSupport RAT yuklab olinib, o‘rnatilib va ishga tushirilgach, hujumchilar qurbonning kompyuteri ustidan to‘liq nazoratga ega bo‘lishadi. Garchi ular tizimga kirgandan keyin aniq nima qilayotganini 100% ishonch bilan aytish uchun yetarli telemetriya bo‘lmasa-da, moliya bilan bog‘liq tashkilotlarga kuchli e’tibor qaratilgani guruhning asosiy maqsadi qurbonlarning pul mablag‘lari ekanini ko‘rsatadi. Shunga qaramay, kiberjosuslik ehtimolini ham inkor etib bo‘lmaydi.

IoT infratuzilmasini nishonga olish uchun zararli vositalar

Group-IB tadqiqotchilari tomonidan hujjatlashtirilgan, Qirg‘izistondagi tashkilotlarni nishonga olgan avvalgi Stan Ghouls hujumlarida client32.ini nomli NetSupport RAT sozlama fayli ishlatilgan bo‘lib, uning MD5 hashi: cb9c28a4c6657ae5ea810020cb214ff0.

Hisobotlarda Qirg‘iziston kampaniyasi 2025-yil iyunida boshlanganligi qayd etilgan bo‘lsa-da, Kaspersky yechimlari ushbu aynan shu sozlama faylini 2025-yil 16-may sanasidayoq aniqlagan. O‘sha paytda u quyidagi NetSupport RAT buyruq va boshqaruv (C2) serveri ma’lumotlarini o‘z ichiga olgan:

2026‑yil yanvar oyidagi tergovimiz vaqtida telemetriya ma’lumotlarimiz shuni ko‘rsatdiki, mazkur sozlamada ko‘rsatilgan hgame33[.]com domeni quyidagi fayllarni ham joylashtirib turgan:

hxxp://www.hgame33[.]com/00101010101001/morte.spc
hxxp://hgame33[.]com/00101010101001/debug
hxxp://www.hgame33[.]com/00101010101001/morte.x86
hxxp://www.hgame33[.]com/00101010101001/morte.mpsl
hxxp://www.hgame33[.]com/00101010101001/morte.arm7
hxxp://www.hgame33[.]com/00101010101001/morte.sh4
hxxp://hgame33[.]com/00101010101001/morte.arm
hxxp://hgame33[.]com/00101010101001/morte.i686
hxxp://hgame33[.]com/00101010101001/morte.arc
hxxp://hgame33[.]com/00101010101001/morte.arm5
hxxp://hgame33[.]com/00101010101001/morte.arm6
hxxp://www.hgame33[.]com/00101010101001/morte.m68k
hxxp://www.hgame33[.]com/00101010101001/morte.ppc
hxxp://www.hgame33[.]com/00101010101001/morte.x86_64
hxxp://hgame33[.]com/00101010101001/morte.mips

Ushbu fayllarning barchasi Mirai nomi bilan mashhur bo‘lgan IoT zararli dasturiga tegishli.

Ular Qirg‘izistonni nishonga olgan Stan Ghouls kampaniyasi bilan bog‘liq serverda joylashganini hisobga olsak, past darajadagi ishonch bilan guruh o‘z asboblar to‘plamini IoT tahdidlari bilan kengaytirgan bo‘lishi mumkin, degan xulosaga kelish mumkin. Biroq boshqa ehtimol ham bor: Stan Ghouls infratuzilmasini boshqa tahdid subyektlari bilan bo‘lishgan, Miraini aynan o‘sha boshqa guruhlar ishlatgan bo‘lishi mumkin.

Bu taxminni domenning ro‘yxatdan o‘tish ma’lumotlari 2025‑yil 4‑iyul kuni soat 11:46:11 da yangilangani ham qo‘llab-quvvatlaydi - bu sana Stan Ghoulsning may–iyun oylaridagi faolligidan ancha keyinga to‘g‘ri keladi.

Javobgarlik

Biz ushbu kampaniyani Stan Ghouls (Bloody Wolf) guruhiga yuqori darajadagi ishonch bilan bog‘laymiz. Buning asosiy sabablari quyidagicha, ular hujumchilarning avvalgi kampaniyalariga o‘xshashlik ko‘rsatadi:

Zararli loaderlarda sezilarli kod o‘xshashliklari aniqlangan. Masalan:

1acd4592a4eb0c66642cc7b07213e9c9584c6140210779fbc9ebb76a90738d5e namunasidan olingan kod parchasi, Group-IB hisobotidan yuklama

95db93454ec1d581311c832122d21b20 namunasidan olingan kod parchasi, bu yerda tasvirlangan NetSupport yuklamasi

2. Ikkala kampaniyadagi ham tuzoq hujjatlari bir xil:

Group-IB tomonidan xabar qilingan kampaniyadan olingan 5d840b741d1061d51d9786f8009c37038c395c129bee608616740141f3b202bb tuzoq hujjat

Bu yerda tasvirlangan kampaniyada ishlatilgan 106911ba54f7e5e609c702504e69c89a tuzoq hujjat

3. Joriy va o'tmishdagi kampaniyalarda tajovuzkorlar Java tilida yozilgan yuklamalardan foydalanishgan. Java so'nggi yillarda zararli yuklama mualliflari tufayli urfdan chiqib ketganini hisobga olsak, u Stan Ghouls uchun o'ziga xos iz bo'lib xizmat qiladi.

Qurbonlar

Ushbu kampaniya doirasida O‘zbekistonda taxminan 50 qurbon, Rossiyada 10 qurilma, shuningdek Qozog‘iston, Turkiya, Serbiya va Belarusda bir necha holatlar aniqlangan (so‘nggi uchta mamlakatdagi yuqtirishlar ehtimol tasodifiy bo‘lgan).

Ushbu kampaniyadagi deyarli barcha fishing xatlari va soxta fayllar o‘zbek tilida yozilgan bo‘lib, bu guruhning maqsad mamlakatlarining mahalliy tillaridan foydalangan tajribasiga mos keladi.

Qurbonlarning aksariyati sanoat ishlab chiqarish, moliya va IT sohalari bilan bog‘liq. Bundan tashqari, davlat tashkilotlari, logistika kompaniyalari, tibbiyot muassasalari va ta’lim muassasalaridagi qurilmalarda ham yuqtirish urinishlari kuzatilgan.

Shuni ta’kidlash joizki, 60 dan ortiq qurbon murakkab kampaniya uchun nisbatan katta raqam hisoblanadi. Bu esa hujumchilar bir vaqtning o‘zida bir nechta zararlangan qurilmalarni qo‘lda boshqarish uchun yetarli manbaga ega ekanini ko‘rsatadi.

Asosiy xulosalar

Ushbu maqolada biz Stan Ghouls guruhining so‘nggi kampaniyasini tahlil qildik. Hujumchilar asosan O‘zbekistondagi sanoat ishlab chiqarish, IT va moliya tashkilotlarini nishonga olgan. Biroq, ta’sir ham Rossiya, Qozog‘iston va ba’zi ehtimoliy tasodifiy qurbonlarga ham yetgan.

60 dan ortiq nishon bu murakkab, maqsadli kampaniya uchun juda yuqori hajm hisoblanadi. Bu hujumchilar o‘z amaliyotlariga katta manbalarni jalb qilishga tayyor ekanini ko‘rsatadi. Qiziq tomoni, guruh hali ham tanish asboblar to‘plamidan, ya’ni odatiy NetSupport masofadan boshqarish vositasi va maxsus Java asosidagi loaderdan foydalanadi.

Ularning yagona doimiy yangilayotgan narsasi - infratuzilma. Ushbu kampaniyada ular zararli loader uchun ikki yangi domen va NetSupport RAT fayllari uchun bitta yangi domendan foydalangan.

Qiziq kashfiyot - guruhning avvalgi kampaniyalariga bog‘liq domenlarda Mirai fayllarining mavjudligi. Bu orqali Stan Ghoulsning IoT zararli dasturlariga kirib borayotgani haqida taxmin qilishi mumkin, ammo ular ustidan to‘liq ishonch bilan xulosa chiqarish uchun hali erta.

Biz Stan Ghouls faoliyatini yaqindan kuzatib bormoqdamiz va mijozlarimizni guruhning so‘nggi harakatlaridan xabardor qilib turamiz...