СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27 апреля
#ИБ

APT36 атакует оборонные организации Индии через DeskRAT

Группа APT36, также известная как Transparent Tribe, провела целенаправленную кампанию против индийских оборонных организаций, применяя вредоносный инструмент DeskRAT. По данным отчета, новая атака опирается на необычный способ доставки через специально созданные файлы .desktop, использующие стандарт freedesktop.org для запуска приложений в Linux-средах.

Приманка на тему поставок танков

В качестве приманки злоумышленники использовали документы и материалы, связанные с предполагаемыми заказами на поставку танков T-72 и T-90. Такая тема, как отмечается в отчете, с высокой вероятностью вызывает интерес у оборонных подрядчиков и сотрудников организаций, работающих в смежной сфере.

Вредоносный файл .desktop отличается необычно большим размером — 1,4 MB. Внутри скрыта полезная нагрузка, которая извлекается и запускается через цепочку этапов кодирования и распаковки. Это позволяет атакующим запускать вредоносный процесс без необходимости компиляции, что делает схему особенно удобной для стандартных Linux-окружений, где заранее установлены такие инструменты, как Python и bzip2.

Как работает DeskRAT

После запуска поддельного .desktop-файла жертва фактически активирует конвейер, в рамках которого полезная нагрузка извлекается и исполняется. Такой подход снижает порог для атаки и позволяет злоумышленникам использовать штатные системные компоненты, не привлекая лишнего внимания.

Командование и управление C2 организовано через WebSockets. Инфраструктура размещена на IP-адресе в Молдове и использует несколько доменов для маршрутизации трафика. Постоянное переключение между доменами указывает на попытку обеспечить избыточность и гибкость в случае обнаружения или блокировки одного из узлов.

Признаки слабого OPSEC

Технический анализ бинарного файла DeskRAT выявил заметные недостатки в области OPSEC. В частности, исполняемый файл раскрывает пути, использовавшиеся во время компиляции, а также сведения о локальном пользователе, что может помочь в установлении авторства.

Внутри бинарного файла обнаружены пути, указывающие на то, что сборка происходила на компьютере под Windows пользователем с учетной записью "hp". Такие артефакты дополнительно раскрывают детали среды разработки и повышают ценность образца для исследователей.

WebSocket-соединение и подозрительная временная метка

DeskRAT устанавливает связь с сервером C2 через WebSocket-конечную точку, которая определяется по характерному приветственному сообщению в формате JSON. Сервер возвращает временную метку, которая, по оценке аналитиков, может указывать на искусственно заданные параметры часового пояса оператора. Это может быть как попыткой скрыть реальное местоположение, так и следствием небрежной настройки.

Четвертое поколение RAT с середины 2024 года

Отчет подчеркивает, что APT36 демонстрирует выраженную цикличность в разработке собственного вредоносного ПО. DeskRAT стал уже четвертым поколением RAT, внедренным группой с середины 2024 года.

При этом набор инструментов злоумышленников заметно эволюционировал: от Windows-ориентированного вредоносного ПО к имплантатам, рассчитанным на Linux. Такой сдвиг свидетельствует о стратегической адаптации к оперативным потребностям индийского оборонного сектора и к тем средам, где такие организации все чаще работают.

Постоянные темы фишинга и геополитический контекст

Действия APT36 остаются тематически устойчивыми: их приманки для фишинга регулярно отражают важные геополитические события, связанные с отношениями между India и Pakistan. По сути, злоумышленники используют информационный фон и профессиональный интерес цели, чтобы повысить вероятность успешного заражения.

Что стоит мониторить организациям

В отчете приведены индикаторы, которые могут помочь в обнаружении подобной активности. Среди них:

  • обнаружение файлов .desktop, размер которых существенно превышает обычный;
  • оповещение о подозрительных схемах выполнения .desktop;
  • тщательный анализ исходящего трафика WebSocket, направленного на известные IP-адреса C2.

Учитывая историческую нацеленность группы на чувствительные сектора, организациям, работающим в этом контексте, необходимы повышенная осведомленность и упреждающие меры по Cybersecurity.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: