APT35: модульная экосистема Saqeb и RAT-2AC2

Источник: www.cloudsek.com
Группа APT35, также известная как «Charming Kitten», управляет сложной и адаптивной экосистемой вредоносного ПО с акцентом на два основных типа RAT — систему Saqeb и RAT-2AC2. Отчёт описывает архитектуру, методы связи и рабочие процессы группы, которые ориентированы на длительное закрепление в средах Windows и высокую оперативную скрытность.
Ключевые находки
- Saqeb — многофункциональная модульная система RAT из пяти модулей, спроектированная для избегания обнаружения и скрытного выполнения команд.
- RAT-2AC2 — .NET-реализация с серверной частью на Flask, включающая поддержку VNC и маскировку под легитимные сервисы.
- Использование пользовательских веб-оболочек (включая m0s.asp) для скрытой связи по нестандартным каналам, например через HTTP-заголовок Accept-Language.
- Применение сетей TOR, многопрыжковых ретрансляций и зашифрованного трафика для повышения скрытности C2-коммуникаций.
- Оперативная активность направлена на авиакомпании, правоохранительные органы и критически важную инфраструктуру и коррелирует с геополитическими целями IRGC.
Технический профиль вредоносного ПО
Saqeb представляет собой модульную платформу из пяти компонентов, ориентированную на устойчивость и маскировку. Модульная архитектура делает платформу адаптируемой: операторы могут добавлять функционал или отключать компоненты для уменьшения следов и повышения живучести.
RAT-2AC2 реализован на .NET и сопровождается серверной частью на Flask. Среди возможностей — удалённое управление рабочим столом через VNC и имитация легитимных сервисов для обхода средств обнаружения.
Каналы связи и маскировка
APT35 активно использует нестандартные и замаскированные каналы передачи данных:
- пользовательские веб-оболочки, включая варианты m0s.asp;
- скрытую передачу данных через HTTP-заголовки (например, Accept-Language);
- шифрование трафика и использование комбинаций стандартного кодирования с собственными схемами шифрования, включая шифры замещения;
- ретрансляции через TOR и многопрыжковые маршруты для сокрытия источника и назначения трафика.
Методы доступа, закрепления и разведки
Группа применяет широкий спектр методов, описываемых в рамках MITRE ATT&CK:
- Initial Access: фишинг и эксплуатация общедоступных приложений;
- Execution: использование PowerShell и выполнение команд через веб-оболочки;
- Persistence: создание/модификация Windows Services и запланированных задач, правки в реестре;
- Credential Access: кража учётных данных из браузеров и других хранилищ;
- Discovery & Exfiltration: изучение процессов и сети, фильтрация данных перед отправкой по каналу C2 для минимизации объёма и маскировки.
Дополнительные инструменты и операционная поддержка
Помимо RAT, экосистема включает вспомогательные компоненты:
- наборы для фишинга с использованием приманок на Google Drive;
- обучающие системы и инструменты для повышения квалификации персонала группы;
- вспомогательные утилиты для получения разведданных, перечня сетевых ресурсов и сокрытия следов.
Разрушающие и защитные функции
Вредоносное ПО содержит механизмы самоуничтожения и очистки следов, что увеличивает сложность расследований. Одновременно в клавной реализации присутствуют встроенные возможности обнаружения окружения жертвы — это помогает операторам выбирать целевые системы и фильтровать данные перед отправкой на C2.
«Эта структура отражает хорошо отлаженную и адаптируемую систему киберэксплуатации, постоянно эволюционирующую под оперативные требования», — отмечается в отчёте.
Кого затрагивает риск
Основные целевые секторы:
- авиакомпании;
- правоохранительные органы;
- критическая инфраструктура;
- организации, вовлечённые в геополитически чувствительные области, связанные с интересами IRGC.
Рекомендации для организаций
- усилить защиту почтовых систем и внедрить многофакторную аутентификацию;
- ограничить выполнение скриптов и применение политик для PowerShell (ConstrainedLanguage, журналирование команд);
- мониторить аномальные исходящие соединения, особенно через TOR и нестандартные HTTP-заголовки;
- регулярно проверять целостность служб Windows, запланированных задач и ключей реестра;
- внедрять средства защиты конечных точек, способные детектировать модульные RAT и поведенческие индикаторы компрометации;
- проводить обучение сотрудников по фишингу и ограничивать использование общих облачных ссылок без верификации (например, Google Drive).
Вывод: APT35 демонстрирует организованный подход к киберекипажу: модульные RAT, скрытные каналы связи и операционные практики, ориентированные на долгосрочное присутствие и сокрытие следов. Это представляет серьёзную угрозу для организаций в целевых отраслях и требует комплексного сочетания превентивных мер, мониторинга и оперативной готовности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



