Фишинговая кампания подоходного налога (ITR) в Индии: NSIS и C2

Недавно в Индии зафиксирована целевая фишинговая кампания, приуроченная к срокам подачи налоговых деклараций (ITR). Злоумышленники используют легитимно выглядящие электронные письма, замаскированные под официальные сообщения Департамента подоходного налога, чтобы заманить сотрудников и компании на поддельный «портал соответствия требованиям» и внедрить вредоносное ПО.

Как начинается атака

Первичный вектор — целевой фишинг (targeted phishing). Получатели получают письмо с вложением в формате PDF, помеченным как Review Annexure.pdf. Этот PDF содержит вредоносный URL — при переходе по нему запускается принудительная загрузка вредоносного установщика. Такой механизм принудительной загрузки (drive-by download) становится все более распространённым и эффективным: достаточно посетить заражённый ресурс, чтобы начать загрузку полезной нагрузки.

«Review Annexure.pdf»

Техническая структура полезной нагрузки

Полезная нагрузка представлена двухэтапным установщиком, созданным с использованием NSIS (Nullsoft Scriptable Install System):

• Этап 1 — бесшумная распаковка: установщик работает в фоновом режиме, распаковывая компоненты во временный каталог без уведомления пользователя.
• Этап 2 — запуск GUI-пакета: далее запускается пакет с графическим интерфейсом (в тексте описан как «китайский GUI-пакет»), который завершает установку вредоносных компонентов на машину жертвы.

Механизм закрепления и связь с инфраструктурой управления

Ключевой элемент кампании — механизм закрепления. После установки вредоносное ПО собирает системную информацию (OS, установленные приложения и т. п.) и регистрирует заражённый компьютер на серверах управления (C2) с уникальным идентификатором для дальнейшего отслеживания и управления.

Коммуникация с C2 осуществляется по протоколам HTTP и HTTPS, но злоумышленники также используют нестандартные порты для устойчивости соединения. Собранные данные передаются обратно через веб-службы в рамках продолжающейся операции.

Тактики обхода обнаружения

Кампания использует несколько приёмов, направленных на обход защитных механизмов:

• применение установщиков с цифровой подписью для повышения легитимности и снижения подозрительности со стороны AV/EDR;
• удаление установочного файла после выполнения, чтобы затруднить анализ и обнаружение;
• обфускация вредоносных компонентов для сокрытия кода и затруднения статического анализа.

Соответствие MITRE ATT&CK

Методы кампании соответствуют ряду тактик и техник фреймворка MITRE ATT&CK, в частности:

• Phishing — фишинговые письма для получения первоначального доступа;
• User Execution — выполнение удалённого исполняемого файла с участием пользователя;
• использование signed installers и обфускации как методов обхода детекции.

Признаки компрометации и индикаторы поведения (behavioral IOCs)

Хотя конкретных хэшей и доменов в отчёте нет, организации должны обращать внимание на следующие индикаторы подозрительной активности:

• входящие письма, содержащие PDF-вложения с призывом «Review Annexure» или похожими формулировками;
• неожиданные попытки загрузки исполняемых файлов при переходе по ссылкам из PDF;
• появление процессов, запущенных из временных каталогов (Temp), особенно если они используют NSIS-стек;
• сетевые соединения к неизвестным внешним хостам по HTTP/HTTPS или на нестандартные порты;
• удаление установочных файлов сразу после запуска;
• аномальная регистрация хостов в удалённых C2-инфраструктурах с уникальными идентификаторами.

Рекомендации по защите

Чтобы уменьшить риск успешной компрометации и быстро реагировать на инциденты, экспертам по безопасности и административным сотрудникам стоит внедрить следующие меры:

• повышение осведомлённости персонала о целевом фишинге — проверять отправителя, не открывать вложения и ссылки из подозрительных писем;
• ограничение прав пользователей — запускать приложения с минимально необходимыми привилегиями;
• внедрение и корректная конфигурация EDR/NGAV, которые отслеживают поведение и блокируют подозрительные действия в Temp-каталогах;
• блокировка известных методов принудительной загрузки на уровне прокси/URL-фильтрации и проверка PDF на встроенные ссылки перед открытием;
• использование политики Application Whitelisting и контроля исполнения подписанных бинарников;
• сегментация сети и мониторинг исходящих соединений на нестандартные порты; анализ HTTP/HTTPS-трафика на предмет подозрительных паттернов;
• регулярное резервное копирование и тестирование восстановления данных;
• быстрая изоляция подозрительных хостов и проведение форензики при обнаружении признаков заражения.

Вывод

Кампания, нацеленная на участившиеся взаимодействия с налоговой отчетностью (ITR), демонстрирует классическое сочетание социальной инженерии и технических приёмов для уклонения от детекции. Использование PDF-вложений, drive-by download и NSIS-установщиков с последующей связью с C2-инфраструктурой делает её эффективной против неподготовленных организаций. В условиях приближающихся налоговых дедлайнов корпоративные и частные пользователи в Индии и за её пределами должны сохранять повышенную бдительность и применять комплексные профилактические меры безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.