APT-C-08: фишинговые сайты и VBS-скрипты для кражи данных

APT-C-08 / Manlinghua усилила фишинговые операции против организаций в Южной Азии

Группа Manlinghua, также известная как APT-C-08, остается одной из наиболее сложных и целенаправленных киберугроз, связанных с интересами правительств стран Южной Азии. По данным недавнего анализа, злоумышленники заметно активизировали деятельность, сосредоточив атаки на государственных учреждениях, оборонных подрядчиках, университетах и зарубежных организациях в регионе.

Ключевым элементом кампании стало развертывание нескольких phishing web sites, предназначенных как для кражи учетных данных, так и для распространения вредоносных загрузок. Инфраструктура атак использует web services от LiteSpeed и включает две основные точки входа: одна маскируется под легитимный почтовый сервис (site 163), а другая предназначена для доставки VBS scripts после взаимодействия пользователя.

Как работает схема атаки

Первая поддельная страница имитирует популярный email service и используется для сбора адресов электронной почты и паролей. Вторая точка входа запускает цепочку, ведущую к загрузке VBS-script, который активируется при действиях пользователя. После этого злоумышленник получает возможность контролировать процессы на устройстве и выполнять exfiltration конфиденциальной информации.

По данным анализа, вредоносный скрипт выполняет сразу несколько функций:

• настраивает адрес управления C2;
• создает scheduled task для постоянного выполнения;
• копирует вредоносный файл в несколько мест для повышения устойчивости;
• непрерывно получает и исполняет команды из инфраструктуры C2.

Повторение прежних TTPs с доработкой тактик

Детальный разбор показывает, что действия группы соответствуют ранее наблюдавшимся TTPs (tactics, techniques and procedures), которые Manlinghua уже использовала в прошлых кампаниях. Речь идет о схожем подходе к созданию phishing websites и внедрению вредоносного кода.

Архитектура фишинговой страницы также повторяет решения, применявшиеся в предыдущих операциях. Это указывает не только на возвращение к прежним методам, но и на их доработку для повышения эффективности атак.

VBS scripts выполняют двойную функцию: они обеспечивают постоянное управление скомпрометированными устройствами и
способствуют краже данных и выполнению удаленных команд.

Почему эта кампания опасна

Главная угроза заключается в сочетании социальной инженерии и технической устойчивости вредоносной инфраструктуры. Фишинговые страницы обходят базовые средства защиты за счет правдоподобной имитации легитимных сервисов, а вредоносные скрипты закрепляются в системе и поддерживают удаленное управление.

Такой многослойный подход представляет серьезный риск для конфиденциальности данных, хранящихся на зараженных системах, особенно если речь идет о чувствительных организациях и учреждениях, работающих с критически важной информацией.

Вывод

Недавние операции APT-C-08 / Manlinghua демонстрируют устойчивую эволюцию группы и ее способность адаптировать phishing стратегии под новые цели. Используя социальную инженерию, вредоносные VBS scripts и постоянную инфраструктуру управления, злоумышленники выстраивают системный механизм проникновения, закрепления и дальнейшего контроля над скомпрометированными устройствами.