СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.05.2025
#ИБ#ИИ

APT36: Новая угроза с использованием поддельных правительственных сайтов

APT36: Новая угроза с использованием поддельных правительственных сайтов

Совсем недавно обнаружена новая кампания хакеров, применяющих методы, схожие с тактиками группы APT36. В данном случае злоумышленники использовали официальные изображения и фирменный знак Министерства обороны Индии для развертывания кроссплатформенного вредоносного ПО. Эти действия напоминают атаки ClickFix, нацеленные на доверие пользователей через имитацию правительственных ресурсов.

Методы атаки

Основная идея заключается в создании мошеннических веб-сайтов, которые на 100% копируют правительственные веб-ресурсы. Для размещения вредоносного контента используется взломанный домен. Ярким примером такого домена является email.gov.in.drdosurvey.info, который полностью воспроизводит визуальные элементы официального сайта Министерства обороны.

Этапы операции

Операция начинается с обработки пользователей через клонированную веб-страницу, созданную с помощью инструмента HTTrack. Ключевые моменты:

  • Клонирование произошло в марте 2025 года, согласно метаданным.
  • Для пользователей Linux отображается интерфейс с капчей, что затрудняет обнаружение мошенничества.
  • Пользователи Windows перенаправляются на страницу с правительственным оповещением.

Технические аспекты

При взаимодействии с поддельной страницей пользователи устанавливаются в окружение социальной инженерии. Например:

  • На Linux выполняется скрипт mapeal.sh, который подготавливает пользователей к возможной утечке данных.
  • На Windows запрашивается разрешение на выполнение JavaScript, что запускает вредоносный код через mshta.exe.

После этого пользователи видят поддельный PDF-файл, имитирующий документы Министерства обороны Индии, что задерживает их на этапе распознавания угрозы.

Значение и выводы

По данным Hunt.io, наблюдаются признаки, связывающие данную операцию с вредоносной активностью, такие как:

  • Использование доменов, имитирующих поддомены правительства Индии.
  • Регистрация через сервис Namecheap.
  • Орфографические ошибки в запросах, направленные на обход систем обнаружения.

Стратегия кампании, несомненно, отражает особенности APT36, которая фокусируется на нацеливании правительственных учреждений. Исследователи предупреждают о необходимости повышенной бдительности к подобным тактикам, так как они могут сигнализировать о начале более серьезных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: