APT-C-48 атакует через фишинг и трояны удаленного управления

APT-C-48 (CNC) использует фишинг и вредоносные архивы для атак на госструктуры, оборону и науку

Группа APT-C-48 (CNC), относимая к advanced persistent threat и связанная с правительством одной из стран Южной Азии, провела новую серию целевых фишинг-кампаний. По данным 360 Security Brain, под ударом оказались прежде всего government administration, defense, education, scientific research, healthcare и media.

Как работала атака

Злоумышленники применяли классическую социальную инженерию, маскируя вредоносные вложения под безобидные PDF documents. На практике жертвы получали электронные письма с архивами, внутри которых находились исполняемые файлы, оформленные в стиле личных резюме. Такой подход был рассчитан на снижение бдительности получателя и побуждение к открытию вложения.

После запуска файла на устройстве устанавливалось соединение с удаленным сервером. Оттуда загружались поддельный документ и сценарий Visual Basic (VBS). Именно VBS-скрипт играл ключевую роль в цепочке заражения: он обеспечивал загрузку и выполнение основного вредоносного кода, открывая атакующим возможность удаленного управления машиной жертвы.

Что представляет собой вредоносный код

Основное malware — это троян удаленного управления, загружаемый по адресу:

klp.recume.ink/ldhifwdgfjdbcu/qbjhwgf/hfjfhruiefh.exe

После загрузки троян перемещается во временную директорию, а затем, при успешном выполнении операции, копируется в постоянное место на системе жертвы:

C:UsersPublicPicturesSearchIndex.exe

Размер VPO составляет около 4,24 MB. Значительная часть этого объема связана со статически скомпилированной версией OpenSSL, используемой для защищенных коммуникаций.

Связь с сервером управления

Канал управления C2 был скрыт посредством XOR-шифрования, после расшифровки которого выявился IP-адрес 185.243.112.142. Вредоносный код устанавливает сетевой socket и подключается к серверу C2 через порт 443.

Далее выполняется привязка socket к объекту SSL для завершения TLS handshake, что обеспечивает зашифрованную связь между зараженным устройством и инфраструктурой злоумышленников. После успешного подключения ВПО отправляет регистрационный пакет с идентификатором gem01ini.

Почему это важно

Аналитики отмечают, что выводы подтверждаются устойчивыми закономерностями, зафиксированными в разных цепочках доказательств, а также историческими данными о предыдущих кампаниях группы. Схожие методы доставки вредоносных загрузок, набор целевых отраслей и технические характеристики атаки позволяют с высокой долей уверенности связывать эту активность с APT-C-48 (CNC).

Ключевые признаки кампании:

• целевой phishing через электронную почту;
• вредоносные архивы с исполняемыми файлами;
• маскировка под PDF documents и resumes;
• использование VBS для загрузки основного payload;
• подключение к C2 через 443 с применением TLS;
• сохранение трояна в SearchIndex.exe.

Таким образом, кампания демонстрирует сочетание традиционных методов социальной инженерии и технически продуманной инфраструктуры управления, характерной для организованных APT-операций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.