СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:26
#ИБ

DragonReturn: кибершпионаж против налоговой инфраструктуры Индии

Операция DragonReturn представляет собой сложную кампанию кибершпионажа, приписываемую злоумышленнику, связанному с China, и направленную против финансовой и налоговой инфраструктуры правительства India. По данным отчета, активная фаза кампании началась 18 May 2026 года и по состоянию на 17 June 2026 года продолжала развиваться, демонстрируя высокий уровень адаптации и устойчивости.

Кампания использует целевой фишинг, вредоносные вложения и многоэтапное развертывание вредоносного ПО, чтобы получить долговременный скрытый доступ к системам жертв. Основной вектор атаки — письма, имитирующие официальные уведомления Department of Income Tax India и ориентированные на taxpayers и tax professionals.

Как работает атака

По описанию отчета, цепочка заражения начинается с ZIP-архива, названного так, чтобы напоминать легальное software для подачи tax return. После запуска вредоносный код разворачивает несколько уровней скрытности и закрепления в системе.

  • создает Windows Service под названием MixedSvc;
  • маскируется под легитимный компонент;
  • настраивается на автоматический запуск при загрузке системы;
  • обеспечивает долгосрочное присутствие на зараженной машине.

Такой подход позволяет злоумышленникам сохранять доступ даже после перезагрузки системы и затрудняет обнаружение атаки стандартными средствами защиты.

Техники скрытности и обхода защиты

DragonReturn использует продвинутые методы obfuscation и anti-analysis, включая:

  • проверку наличия administrative privileges;
  • антианалитическое поведение для обхода sandbox environments;
  • проверки на запуск в virtualized environment;
  • отключение Windows AntiMalware Scan Interface (AMSI).

Отдельно отмечается использование wrapping внутри внешне безобидных файлов. В отчете приводится пример с файлом background.jpg, который служит контейнером для скрытия вторичных payloads. Такой прием усложняет ручной анализ и помогает обходить базовые механизмы детектирования.

Вредоносное ПО также dynamically decrypts embedded payload и выполняет его directly in memory, не записывая на disk. Это повышает stealth и снижает вероятность обнаружения при forensic analysis.

Функциональность malware

Основная цель кампании — не просто первичное заражение, а создание устойчивого канала для разведки и exfiltration данных. По данным отчета, вредоносное ПО способно:

  • загружать дополнительные payloads;
  • устанавливать encrypted channels связи с command-and-control servers (C2);
  • собирать разведывательные данные об инфраструктуре жертвы;
  • захватывать activity screen;
  • передавать данные на C2 через каналы, зашифрованные с помощью TLS.

Связующий framework позволяет запускать несколько вредоносных компонентов, вероятно включая backdoors и credential harvesting tools. Это указывает на стремление злоумышленников удерживать доступ к ценным данным в целевой инфраструктуре в течение длительного времени.

Атрибуция и инфраструктура

Операционная инфраструктура кампании была прослежена до IP-адресов, связанных с Chinese hosting providers. В совокупности с тактиками, ранее наблюдавшимися у кластеров злоумышленников, связанных с China, это стало основанием для оценки происхождения кампании.

Дополнительным индикатором зрелости операции стала быстрая итерация и ротация payloads. Один из образцов, по данным отчета, имел показатель обнаружения 0/66 на VirusTotal. Это говорит о хорошо финансируемом и ресурсном противнике, способном быстро адаптировать инструменты под контрмеры защитников.

Почему это важно

DragonReturn представляет значительную угрозу для налоговой и финансовой систем India, особенно в критические периоды подачи налоговых деклараций. Злоумышленники явно фокусируются на высокоценных целях, где доступ к документам, учетным данным и внутренней переписке может дать значительный разведывательный эффект.

Очевидная цель кампании — обеспечение долгосрочного скрытого доступа для сбора разведданных и exfiltration данных.

С учетом продолжения активности после 17 June 2026 года операция остается актуальной угрозой и демонстрирует, как целевой фишинг в сочетании с многоуровневым вредоносным ПО может использоваться для длительного проникновения в критически важные государственные системы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: