Эволюция трояна DRAT V2 в атаке TAG-140 на Индию
Недавние расследования выявили новую волну активности хакерской группы TAG-140, нацеленной на правительственные структуры Индии. В центре внимания оказался модифицированный вариант удалённого доступа трояна DRAT, получивший обозначение DRAT V2. Эта группа связана с APT-актером Transparent Tribe (APT36) и демонстрирует стабильное развитие вредоносного ПО, повышая гибкость и эффективность своих действий.
Эволюция вредоносного ПО: от .NET к Delphi
Хотя предыдущие версии DRAT строились на платформе .NET, версия DRAT V2 стала значительным шагом вперёд и была скомпилирована на Delphi. Это позволило расширить функциональность трояна и улучшить систему командования и контроля (C2), которая теперь использует пользовательский TCP-протокол, инициируемый сервером.
- Внедрение новой команды
exec_this_commдля исполнения произвольных команд, обеспечивающей повышенную гибкость операторов. - Использование кодировки Base64 для обфускации передач C2, при этом заголовки команд оставлены в открытом виде для повышения надёжности.
- Изменённая структура протокола с использованием символьных символов обеспечивает эффективное выполнение команд.
Механизмы заражения и особенности атаки
Заражение начинается с методов социальной инженерии, часто в стиле ClickFix, когда жертва запускает вредоносный скрипт через системный инструмент mshta.exe. Это активирует сетевой загрузчик BroaderAspect, который обеспечивает устойчивость трояна DRAT V2.
Основные методы атаки включают:
- Использование HTML-приложений (HTA) и файлов Microsoft Installer (MSI).
- Эксплуатацию уязвимостей программного обеспечения, например, в WinRAR.
- Применение техник подводного фишинга (spear phishing) для целенаправленного проникновения.
Целевые отрасли и возможности трояна
TAG-140 демонстрирует распространённость своей активности за пределами оборонного сектора, атакуя такие отрасли, как железнодорожный транспорт и нефтяная промышленность Индии. DRAT V2 предлагает широкий набор команд для сбора информации и управления инфицированными устройствами:
- Сбор системной информации и разведка целевых узлов.
- Передача и эксфильтрация файлов между заражённым устройством и инфраструктурой C2.
- Подробное управление файловой системой и выполнение сложных операций.
Особенности безопасности и обнаружения
Несмотря на эволюцию, DRAT V2 сохраняет некоторые уязвимости с точки зрения обнаружения: из-за отсутствия сложных средств защиты от анализа и сравнительно простых методов сохранения данных его можно выявлять с помощью стандартных средств мониторинга безопасности.
Эксперты подчёркивают необходимость ориентироваться не только на сигнатуры вредоносного ПО, но и на поведенческие индикаторы, инфраструктуру подводного фишинга и другие признаки активной атакующей деятельности.
Заключение
Появление DRAT V2 является ярким примером того, как TAG-140 совершенствует свои операции, увеличивая модульность и эксплуатационную гибкость. Однако простые приёмы и недостаточная защита делают возможным обнаружение трояна на ранних этапах.
Специалисты по кибербезопасности должны оставаться бдительными и внимательно отслеживать развивающиеся методы TAG-140 для своевременного реагирования на угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
