СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

Ashen Lepus (AshTag): целенаправленные APT-атаки на дипломатов Ближнего Востока

Ashen Lepus, связанная с ХАМАСОМ APT‑группировка, проводит целенаправленные операции по кибершпионажу, нацеленные на дипломатические учреждения по всему Ближнему Востоку. В центре текущих атак — сложное вредоносное ПО, получившее название AshTag, и эволюционирующая операционная модель, затрудняющая обнаружение вредоносной активности.

Кто и где — география операций

Группа существует с 2018 года и изначально фокусировалась на сборе информации из государственных структур в географически близких к Палестинской автономии регионах. Со временем география атак расширилась и включает:

  • Палестинскую автономию;
  • Египет;
  • Иорданию;
  • Оман;
  • Марокко.

Многоэтапная методика заражения

Ashen Lepus применяет многоступенчатый подход к компрометации целей. Кампания начинается с безобидного на вид PDF‑файла, который направляет жертву к файлообменным сервисам для загрузки RAR‑архива с вредоносными полезными файлами. Ранее группа использовала более простые механизмы доставки полезной нагрузки, в том числе завершение родительских процессов — признак стадий тестирования и разработки. В текущей кампании наблюдается переход к зрелым, модульным инструментам.

Архитектура C2 и методы сокрытия

Заметен сдвиг в архитектуре command and control (C2): злоумышленники регистрируют поддомены легитимных доменов, связанных с API и службами аутентификации. Такие домены часто тематически привязаны к здравоохранению или технологиям, что позволяет смешивать вредоносный трафик с нормальной сетевой активностью и повышает операционную безопасность атакующих.

Пакет AshTag и ключевые компоненты

Новый пакет представляет собой значительное усовершенствование по сравнению с предыдущими инструментами. Ключевые характеристики:

  • модульный .NET‑бэкдор для скрытого закрепления и удалённого выполнения команд;
  • маскировка под законную утилиту — VisualServer, что облегчает обмен данными с C2 и выполнение дополнительных полезных нагрузок в памяти;
  • компонент AshenLoader, который после выполнения отправляет разведданные на сервер C2;
  • использование метода, при котором полезная нагрузка AshenStager встроена в HTML‑теги веб‑страницы сервера C2 — техника, документированная в предыдущих операциях группы.

Поведение после компрометации

После первичного заражения Ashen Lepus активно занимается кражей персональных данных и последующим доступом к скомпрометированным системам для подготовки материалов к эксфильтрации. Деятельность группы свидетельствует о постоянном характере разведывательных операций, что особенно критично на фоне эскалации регионального конфликта.

TPD и лингвистические особенности приманок

Методы, тактики и процедуры (ТПД) группы остаются в целом неизменными по сравнению с предыдущими кампаниями. Отдельно отмечается использование приманок на арабском языке, адаптированных под текущие политические и военные нарративы региона — это повышает вероятность успешного взаимодействия с целями.

«По мере того как оператор адаптирует и расширяет свои возможности, сохраняющаяся угроза, направленная на дипломатические и правительственные структуры, представляет собой серьёзный и развивающийся вызов для кибербезопасности региона.»

Что важно знать и делать организациям, попадающим в зону риска

  • Осторожно относиться к подозрительным PDF‑файлам и ссылкам на файлообменники — даже если документ выглядит легитимно.
  • Отслеживать загрузки архивов (RAR) и анализировать содержащиеся в них исполняемые файлы в изолированной среде.
  • Мониторить регистрацию поддоменов связанных доменов и аномалии в трафике к сервисам API и authentication endpoints.
  • Идентифицировать признаки .NET‑бэкдоров и следы исполнения в памяти, а также анализировать поведение утилит, маскирующихся под легитимные приложения (например, VisualServer).
  • Уделять внимание локализованным (арабоязычным) фишинговым приманкам — они могут быть специально адаптированы под целевую аудиторию.

Анализ активности Ashen Lepus подчеркивает, что угрозы остаются динамичными: группа показывает способность как к техническому развитию инструментов (AshTag), так и к операционной адаптации (C2‑архитектура, тематические домены). Это делает её серьёзным и долговременным противником в сфере региональной киберразведки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: