APT35: модульная экосистема Saqeb и RAT-2AC2

APT35: модульная экосистема Saqeb и RAT-2AC2

Источник: www.cloudsek.com

Группа APT35, также известная как «Charming Kitten», управляет сложной и адаптивной экосистемой вредоносного ПО с акцентом на два основных типа RAT — систему Saqeb и RAT-2AC2. Отчёт описывает архитектуру, методы связи и рабочие процессы группы, которые ориентированы на длительное закрепление в средах Windows и высокую оперативную скрытность.

Ключевые находки

  • Saqeb — многофункциональная модульная система RAT из пяти модулей, спроектированная для избегания обнаружения и скрытного выполнения команд.
  • RAT-2AC2 — .NET-реализация с серверной частью на Flask, включающая поддержку VNC и маскировку под легитимные сервисы.
  • Использование пользовательских веб-оболочек (включая m0s.asp) для скрытой связи по нестандартным каналам, например через HTTP-заголовок Accept-Language.
  • Применение сетей TOR, многопрыжковых ретрансляций и зашифрованного трафика для повышения скрытности C2-коммуникаций.
  • Оперативная активность направлена на авиакомпании, правоохранительные органы и критически важную инфраструктуру и коррелирует с геополитическими целями IRGC.

Технический профиль вредоносного ПО

Saqeb представляет собой модульную платформу из пяти компонентов, ориентированную на устойчивость и маскировку. Модульная архитектура делает платформу адаптируемой: операторы могут добавлять функционал или отключать компоненты для уменьшения следов и повышения живучести.

RAT-2AC2 реализован на .NET и сопровождается серверной частью на Flask. Среди возможностей — удалённое управление рабочим столом через VNC и имитация легитимных сервисов для обхода средств обнаружения.

Каналы связи и маскировка

APT35 активно использует нестандартные и замаскированные каналы передачи данных:

  • пользовательские веб-оболочки, включая варианты m0s.asp;
  • скрытую передачу данных через HTTP-заголовки (например, Accept-Language);
  • шифрование трафика и использование комбинаций стандартного кодирования с собственными схемами шифрования, включая шифры замещения;
  • ретрансляции через TOR и многопрыжковые маршруты для сокрытия источника и назначения трафика.

Методы доступа, закрепления и разведки

Группа применяет широкий спектр методов, описываемых в рамках MITRE ATT&CK:

  • Initial Access: фишинг и эксплуатация общедоступных приложений;
  • Execution: использование PowerShell и выполнение команд через веб-оболочки;
  • Persistence: создание/модификация Windows Services и запланированных задач, правки в реестре;
  • Credential Access: кража учётных данных из браузеров и других хранилищ;
  • Discovery & Exfiltration: изучение процессов и сети, фильтрация данных перед отправкой по каналу C2 для минимизации объёма и маскировки.

Дополнительные инструменты и операционная поддержка

Помимо RAT, экосистема включает вспомогательные компоненты:

  • наборы для фишинга с использованием приманок на Google Drive;
  • обучающие системы и инструменты для повышения квалификации персонала группы;
  • вспомогательные утилиты для получения разведданных, перечня сетевых ресурсов и сокрытия следов.

Разрушающие и защитные функции

Вредоносное ПО содержит механизмы самоуничтожения и очистки следов, что увеличивает сложность расследований. Одновременно в клавной реализации присутствуют встроенные возможности обнаружения окружения жертвы — это помогает операторам выбирать целевые системы и фильтровать данные перед отправкой на C2.

«Эта структура отражает хорошо отлаженную и адаптируемую систему киберэксплуатации, постоянно эволюционирующую под оперативные требования», — отмечается в отчёте.

Кого затрагивает риск

Основные целевые секторы:

  • авиакомпании;
  • правоохранительные органы;
  • критическая инфраструктура;
  • организации, вовлечённые в геополитически чувствительные области, связанные с интересами IRGC.

Рекомендации для организаций

  • усилить защиту почтовых систем и внедрить многофакторную аутентификацию;
  • ограничить выполнение скриптов и применение политик для PowerShell (ConstrainedLanguage, журналирование команд);
  • мониторить аномальные исходящие соединения, особенно через TOR и нестандартные HTTP-заголовки;
  • регулярно проверять целостность служб Windows, запланированных задач и ключей реестра;
  • внедрять средства защиты конечных точек, способные детектировать модульные RAT и поведенческие индикаторы компрометации;
  • проводить обучение сотрудников по фишингу и ограничивать использование общих облачных ссылок без верификации (например, Google Drive).

Вывод: APT35 демонстрирует организованный подход к киберекипажу: модульные RAT, скрытные каналы связи и операционные практики, ориентированные на долгосрочное присутствие и сокрытие следов. Это представляет серьёзную угрозу для организаций в целевых отраслях и требует комплексного сочетания превентивных мер, мониторинга и оперативной готовности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: