СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

APT36 переходит на vibeware: полиглотные бинарники и LOTS

Индийско-ориентированная хакерская группа APT36, также известная как Transparent Tribe, изменила свою модель разработки вредоносного ПО: вместо использования готовых инструментов злоумышленники ставят на быструю автоматизацию, массовое производство и нестандартные языки программирования. Эта эволюция получила обозначение vibeware — подхода, который сочетает высокую скорость выпуска вариантов и интеграцию доверенных сервисов для командования и управления.

Краткая суть изменений

Ранее ориентировавшаяся на стандартные инструменты группа теперь активно использует языки вроде Nim, Zig и Crystal. Это позволяет создавать полиглотные бинарники, вариативные по форме и затрудняющие обнаружение традиционными средствами, которые чаще настроены на C++ и C#. Одновременно APT36 применяет модель «жизни внутри доверенных сервисов» — Living Off Trusted Services (LOTS) — используя платформы типа Discord, Slack и Google Sheets для маскировки C2-трафика под легитимный сетевой трафик.

Vibeware: преимущества и недостатки

vibeware характеризуется высокой скоростью генерации новых вариантов вредоносного ПО и сильной автоматизацией разработки. Это даёт оперативное преимущество атакующим, но приводит к тому, что многие сборки оказываются «сырыми» — синтаксически корректными, но логически неполными.

«синтаксически корректен, но логически незавершен»

Часто такие одноразовые бинарники содержат ошибки выполнения — например, компоненты не могут подключиться к C2 из‑за неправильно сопоставленных URL. Тем не менее, массовость производства и стратегия резервирования каналов коммуникации (одновременное развёртывание нескольких вариантов) сохраняют общую операционную эффективность группы.

Тактика проникновения и поддержания доступа

Типичный путь первичного доступа у APT36 — фишинговые кампании. Среди заметных приёмов — ZIP-архивы с файлами-ярлыками (LNK), которые запускают скрипты для загрузки инструментов удалённого доступа. После успешной эксплуатации злоумышленники стремятся закрепиться и обеспечить устойчивый доступ.

  • Фишинг с ZIP/LNK-архивами, запускающими скрипты для загрузки RAT/дропперов;
  • Одновременное развертывание нескольких вариантов вредоносного ПО для резервирования каналов связи;
  • Использование планировщика задач и маскировка файлов под легитимные процессы для поддержания постоянства.

Основные компоненты набора вредоносного ПО

Хотя коллективный набор APT36 не представляет собой прорывных технических инноваций, в нём есть отдельные инструменты и архитектурные приёмы, обеспечивающие устойчивость операций:

  • Warcode — загрузчик, написанный на Crystal; облегчает выполнение более зрелого ПО, включая Havoc C2 framework;
  • NimShellcodeLoader — реализован на Nim и используется для запуска маяков Cobalt Strike;
  • CreepDropper — дроппер, устанавливающий исполняемые файлы, маскирующиеся под легитимные процессы; применяет планировщик задач для сохранения постоянства;
  • MailCreep — компонент для извлечения данных через Microsoft Graph API;
  • SheetCreep — инструмент управления и передачи команд через Google Sheets, интегрированный в модель LOTS.

Living Off Trusted Services (LOTS)

«Living Off Trusted Services»

Использование доверенных платформ (Discord, Slack, Google Sheets) позволяет APT36 смешивать вредоносную активность с легитимными коммуникациями, что значительно усложняет обнаружение и атрибуцию. Такая тактика делает сетевой трафик менее подозрительным на уровне периметра и требует от защитников более глубокого поведенческого анализа и корреляции телеметрии.

Операционные выводы и последствия для защиты

Главная опасность подхода APT36 — не в техническом совершенстве отдельных компонентов, а в их массовом и адаптивном применении вместе с обходом традиционных методов детектирования. Группа добивается высокой операционной эффективности за счёт:

  • использования нестандартных языков (Nim, Zig, Crystal) для осложнения сигнатурного обнаружения;
  • быстрой замены и множества одноразовых вариантов (disposable malware);
  • скрытия C2-коммуникаций в рамках доверенных сервисов (LOTS).

Это требует от команд по информационной безопасности пересмотра подходов: отслеживание использования нетипичных языков и бинарных форм, мониторинг аномалий в поведении аккаунтов и сервисов, а также усиленная корреляция логов для выявления скрытых каналов связи.

Заключение

APT36 демонстрирует, как сочетание автоматизации, нетипичных языков программирования и злоупотребления доверенными сервисами превращает даже «сырой» код в устойчивую и опасную угрозу. Несмотря на ошибки в отдельных сборках, операционная модель группы — массовое производство + LOTS — делает её актуальным вызовом для организаций, особенно в Индии, которые остаются основными целями атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: