APT36 применяет CapraRAT через Contabo, маскируя угрозы под Viber
Источник: www.cloudsek.com
APT36 использует инфраструктуру Contabo для распространения опасных RAT-вредоносов
Недавнее расследование компании CloudSEK выявило, что группа APT36, известная также как Transparent Tribe, активно применяет VPS-инфраструктуру провайдера Contabo для проведения вредоносной деятельности. В частности, злоумышленники распространяют троян удалённого доступа для Android — CapraRAT, а также вредоносное ПО для Windows — Crimson RAT. Эти открытия говорят о повышении уровня тактической изощрённости группы и усложнении приемов маскировки своих операций.
Маскировка под законное приложение Viber
Одним из ключевых нововведений в арсенале APT36 стало сокрытие CapraRAT под видом легитимного мессенджера Viber. Такой подход позволяет значительно повысить вероятность заражения, поскольку многие пользователи доверяют знакомому бренду и не подозревают, что на их устройства устанавливается вредоносное ПО.
Этот модифицированный CapraRAT обладает широкими правами доступа, включая:
- запись аудио;
- чтение и перехват текстовых сообщений (SMS);
- отслеживание точного местоположения устройства;
- получение доступа к контактам и истории звонков;
- контроль исходящих звонков;
- использование камеры;
- управление учётными записями на устройстве.
Инфраструктура Contabo и тактика APT36
CloudSEK подтвердил, что APT36 продолжает использовать Contabo для хостинга своих серверов командного и управляющего центра (command-and-control, C2). Поддержка DNS и хостинг-инфраструктуры с этим провайдером оказались ключевыми элементами для успешного развёртывания и управления вредоносными кампаниями.
Интересно, что CapraRAT основан на открытом исходном коде AndroRAT, что упрощает злоумышленникам его модификацию под собственные нужды.
Анализ инфраструктуры Crimson RAT
Для выявления дополнительных вредоносных компонентов и серверов APT36 был проведён запрос в сервис Censys, который позволил обнаружить и подтвердить с помощью VirusTotal большое количество совпадений по тактикам, методам и процедурам (TTP) с уже известными операциями группы. Один из IP-адресов, используемых для Crimson RAT command-and-control, ранее неоднократно фигурировал в атаках APT36.
Анализ файлов, загружаемых с этого IP, выявил несколько вредоносных APK-пакетов. Особенно примечательными оказались два файла с именем com.moves.media.tubes, тесно связанных с текущими кампаниями группы в 2024 году.
Социальная инженерия и технологические возможности CapraRAT
Распространение вредоноса под видом популярного мессенджера — это классический пример социальной инженерии, усиленной техническими средствами. Такое сочетание существенно увеличивает шансы успешного заражения устройств и последующего контроля над ними.
Разрешения, которыми обладает CapraRAT под маской Viber, не только позволяют следить за действиями пользователя, но и управлять коммуникациями, собирать конфиденциальную информацию и полностью контролировать функционал устройства — что представляет серьёзную угрозу для безопасности личных данных и корпоративных систем.
Выводы и рекомендации
Полученные данные свидетельствуют о том, что APT36 сохраняет высокий уровень активности и готовность к развитию своих инструментов и тактик. Использование легитимных сервисов и инфраструктур, вроде Contabo, создаёт дополнительные трудности для обнаружения и блокировки их операций.
В условиях роста угроз группировки подобного уровня организациям и пользователям рекомендуется:
- повышать осведомлённость о рисках, связанных с установкой приложений из непроверенных источников;
- регулярно обновлять системы безопасности и антивирусные базы;
- использовать системы обнаружения и предотвращения вторжений (IDS/IPS);
- контролировать сетевой трафик и своевременно реагировать на подозрительную активность, особенно связанную с VPS и хостинг-провайдерами;
- применять многофакторную аутентификацию и минимизировать права пользователей.
В условиях постоянного эволюционирования угроз кибербезопасность требует комплексного и проактивного подхода, что особенно актуально при столкновении с такими высокоорганизованными группами, как APT36.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
