APT-36: LNK-MSI атака на Windows с DLL-загрузчиком и YARA

Кратко: Недавний анализ выявил целевую вредоносную кампанию, связаемую с группировкой APT-36. Злоумышленники комбинируют социальную инженерию и технологическую изощрённость: поддельный «правительственный» PDF используется как приманка, а реальное заражение осуществляется через скрытый Windows-ярлык (.lnk), который разворачивает MSI‑полезную нагрузку и .NET‑загрузчик для внедрения DLL и закрепления в системе.

Как происходит атака

• Злоумышленники распространяют файл, замаскированный под PDF — фактический файл имеет расширение .lnk (ярлык). Это эксплуатирует поведение Windows по умолчанию, когда расширения известных типов скрыты, и пользователь видит лишь «NCERT-WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta)-Advisory.pdf».
• При открытии ярлыка запускается скрытая доставка MSI‑пакета, который затем запускает .NET‑загрузчик.
• .NET‑загрузчик разворачивает вредоносные библиотеки DLL в целевой системе и обеспечивает закрепление путем внесения изменений в реестр.
• Кампанию сопровождает использование внешней инфраструктуры (C2), а также техники, похожие на DLL hijacking, что расширяет набор команд и возможностей вредоносного ПО.

Технические детали, на которые стоит обратить внимание

• Первичная приманка: ярлык Windows (.lnk), замаскированный под PDF.
• Доставляемая полезная нагрузка: MSI‑пакет, скрытно исполняющий .NET‑загрузчик.
• Действия загрузчика: развёртывание DLL, вписывание изменений в реестр для закрепления.
• Техники обхода и эксплуатации: использование поведения Windows (скрытие расширений), DLL hijacking, внешняя C2‑инфраструктура.
• Обнаружение: в отчёте приведены правила YARA и набор IOCs для обнаружения и сопоставления компрометации.

«Подход злоумышленника отражает глубокое понимание нацеленного шпионажа, который, вероятно, нацелен на правительственные организации.»

IOCs и сигнатуры, упомянутые в отчёте

• Файловое имя: NCERT-Whatsapp-Advisory.pdf.lnk
• Домены/инфраструктура: wmiprovider.com
• Правила для детектора: YARA (подробные подписи включены в оригинальный отчёт)

Кого, вероятно, нацелили и зачем

С учётом социальной инженерии (поддельный правительственный документ) и характера таргетирования, кампания, по всей видимости, ориентирована на государственные структуры и организации, имеющие отношение к официальной коммуникации. Поведение APT‑36 в этой операции указывает на цели, связанные со сбором разведданных и длительным сохранением доступа в компрометированных средах.

Рекомендации по защите и обнаружению

• Включить отображение расширений файлов в Windows и обучить сотрудников проверять реальные расширения вложений.
• Ограничить исполнение неподписанных MSI и ярлыков из непроверенных источников — использовать application allowlisting.
• Развернуть EDR/AV с поддержкой контроля поведения процессов (.NET‑загрузчиков, нестандартного запуска MSI) и правил YARA из отчёта.
• Мониторить и блокировать сетевые запросы к известным доменам кампании (например, wmiprovider.com) и сопоставлять трафик с IOC‑списком.
• Искать на конечных точках упоминания файлов с именами вроде NCERT-Whatsapp-Advisory.pdf.lnk и проверять изменения реестра, характерные для закрепления вредоносных DLL.
• Проверять логи на признаки DLL hijacking и подозрительные загрузки .NET‑модулей.

Вывод

Кампания APT-36 демонстрирует типичное для современных APT сочетание социальной инженерии и технической сложности: злоумышленники используют доверие к официальным документам и слабые настройки клиента (скрытие расширений), чтобы тайно доставить и закрепить вредоносную нагрузку. Наличие YARA‑правил и IOCs в отчёте даёт организациям практические средства для выявления и блокировки данной кампании, однако успешная защита потребует сочетания технических мер, мониторинга сети и обучения пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.