APT36 и Operation Sindoor: усовершенствованные фишинг-атаки на Индию

17 апреля 2025 года индийская кибернетическая телеметрия зафиксировала масштабные аномалии, ориентированные на правительственные почтовые серверы и объекты оборонной инфраструктуры. Эти атаки, получившие название Operation Sindoor, продемонстрировали новый уровень сложности и координации в сфере кибербезопасности страны.

Суть атаки и методы злоумышленников

В основе Operation Sindoor лежала серия целенаправленных фишинговых кампаний. Для повышения вероятности открытия вложений злоумышленники использовали документы-приманки, связанные с недавними национальными трагедиями, что усиливало психологическое воздействие и маскировало вредоносную полезную нагрузку.

Эти вредоносные документы содержали макросы и скрипты, которые обеспечивали скрытую коммуникацию с системой командования и контроля (C2), а также развертывание продвинутого вредоносного ПО. Основным игроком выступала группа APT36, продемонстрировавшая заметную эволюцию тактики.

• Ранее злоумышленники использовали загрузчик Poseidon, а теперь перешли на модульную вредоносную платформу Ares.
• Ares сочетает разнообразные техники для обеспечения скрытности и стойкости относительно обнаружения.
• Фишинг с вложениями в форматах: .ppam, .xlam, .lnk, .xlsb, .msi.
• Макросы внутри документов выполняли веб-запросы к управляющим доменам, например, fogomyart.com.
• Использование поддельных индийских доменов – zohidsindia.com и nationaldefensecollege.com – для доставки полезной нагрузки.
• C2-серверы связаны с IP-адресом 167.86.97.58 и работают по протоколам прикладного уровня.

Передовые тактики и инструменты APT36

Эксперты выделяют ключевые методы, применяемые злоумышленниками в ходе операции:

• Первоначальный доступ: фишинг (T1566.001).
• Выполнение команд: веб-запросы через макросы (T1059.005).
• Поддержание постоянства: автономные двоичные файлы (LOLBins) (T1218), запланированные задачи (T1053.005), обход контроля учетных записей пользователей (T1548.002) и запутанные скрипты PowerShell (T1059.001, T1027).

Основной инструмент атаки — Ares RAT — является мощным трояном удаленного доступа, предоставляющим злоумышленникам полный контроль над заражёнными устройствами, включая функции:

• Ведение кейлоггинга;
• Захват экранного изображения;
• Управление файлами на скомпрометированном хосте.

Скоординированная кампания с участием хактивистов

Параллельно с деятельностью APT36, на национальный сектор были направлены и другие кибератаки — DDoS, повреждение веб-ресурсов и утечка данных. Эти действия характерны для хактивистских группировок, действовавших с высокой степенью координации.

Для организации и согласования атак использовались популярные коммуникационные платформы, такие как Telegram, с применением хэштегов #Opind и #OperationSindoor.

Основное внимание было уделено таким ключевым организациям, как:

• Министерство обороны Индии;
• Больницы AIIMS;
• Телефонные и телекоммуникационные компании;
• Критически важные объекты здравоохранения и обороны.

Влияние и последствия операции

Операция Operation Sindoor выявила тревожную тенденцию — объединение усилий государственных кибершпионов и хактивистов, что создает новый уровень угроз в сфере кибервойн и психологических операций. Такое сотрудничество расширяет спектр атаки, объединяя технический взлом и социальный инженеринг.

Цели атак выходят далеко за рамки кражи данных — они направлены на подрыв общественного доверия, нарушение работы национальных систем и дестабилизацию в критические геополитические моменты.

• Утечки конфиденциальной информации;
• Сбои из-за DDoS-атак;
• Ухудшение восприятия кибербезопасности в государственных структурах Индии.

Таким образом, Operation Sindoor стала отражением новых реалий киберпространства, где граница между шпионажем и идеологической борьбой становится всё менее очевидной.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.