СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 января
#ИБ

KazakRAT: государственная вредоносная кампания против Казахстана и Афганистана

Аналитики выявили 지속ительную вредоносную кампанию, связанную с предполагаемым государственным актором, нацелившуюся на организации в Казахстане и Афганистане. Центром операции является RAT, называемый KazakRAT, который использует инфраструктуру управления и контроля (C2) как минимум с августа 2022 года и демонстрирует ряд характерных тактик доставки, закрепления и связи.

Ключевые наблюдения

  • Целевые регионы: Казахстан и Афганистан.
  • Имя вредоносного ПО: KazakRAT.
  • Период активности: с августа 2022 года (по крайней мере).
  • Инфраструктура C2: домен dns.freiesasien.com, работающий по незашифрованному протоколу HTTP.
  • Оценка операционной зрелости: ограниченная — акторы не проявляют устойчивости в поддержании активных доменов C2.

Механизмы доставки и закрепления

KazakRAT доставлялся в основном как файлы с расширением .msi. Разные варианты злоумышленной программы используют различные механизмы доставки, однако все рассматриваемые образцы объединяет общий метод закрепления в системе:

  • Запись в раздел реестра Run для автозапуска.
  • Запуск вредоносных DLL с помощью rundll32.

Для повышения вероятности выполнения злоумышленники применяют социальную инженерию: приманки в виде документов Word, подделанных официальных переписок и отсканированных «официальных» сообщений от властей.

Коммуникации и поведение в сети

KazakRAT использует Win32 API SetTimer для организации связи с C2: вредоносный агент отправляет маяки (beacon) каждые пять секунд для получения команд из инфраструктуры управления. Домен dns.freiesasien.com обрабатывает запросы по незашифрованному HTTP, что указывает на минимальные попытки уклонения от обнаружения.

«Работа C2 по незашифрованному HTTP иллюстрирует минимальные усилия для уклонения», — указывает анализ кампании.

Функциональность KazakRAT

При выполнении все варианты KazakRAT используют стандартные WinAPI-вызовы для выполнения команд и сбора информации. Основные функции и возможности включают:

  • Использование CreateProcessW для выполнения команд и запуска процессов.
  • Сбор информации о локальных дисках с помощью GetLocalDrives().
  • Поддержка набора команд, доступных операторам RAT, включая exec и info:
    • exec — выполнение переданных исполняемых файлов;
    • info — сбор информации о версии операционной системы и системных параметрах.
  • Создание скрытых директорий на заражённой машине.
  • Загрузка файлов с указанных URL (функциональность upload/download).

Социальная инженерия

Чтобы повысить шанс успешного запуска, злоумышленники используют документы-приманки разных типов:

  • Файлы, маскирующиеся под Word-документы с поддельной перепиской официальных лиц.
  • Отсканированные «официальные» сообщения от властей, стимулирующие открытие вложения.

Оценка угрозы и практические рекомендации

Кампания демонстрирует нацеленность на конкретные регионы и использует простые, но эффективные механизмы для удержания доступа и сбора данных. Несмотря на ограниченную оперзрелость акторов, угрозу нельзя недооценивать, учитывая функциональные возможности RAT.

Рекомендуемые меры для организаций в зоне риска:

  • Блокировать или мониторить трафик к домену dns.freiesasien.com на уровне сети и прокси.
  • Искать признаки запуска DLL через rundll32 и записи в ключе реестра Run.
  • Настроить обнаружение аномальных частых маяков (beacon) — например, последовательных HTTP-запросов с высокой частотой (каждые ~5 секунд).
  • Ограничить исполнение неподписанных .msi-пакетов и внедрить контроль запуска приложений (application control/whitelisting).
  • Повысить осведомлённость сотрудников о рисках открытия вложений, выдающих себя за официальные сообщения.
  • Использовать EDR/AV-решения с возможностью отслеживания CreateProcessW, сетевых соединений и операций с файловой системой.
  • Периодически пересматривать список внешних доменов и сертификатов, а также разрабатывать планы реагирования на смену C2-инфраструктуры.

Вывод

KazakRAT представляет собой зрелую по функционалу, но операционно несовершенную угрозу: вредоносная кампания активно использует простые, проверенные методы доставки и закрепления, а также поддерживает возможности удалённого управления и передачи файлов. Отслеживание указанных индикаторов и внедрение базовых мер защиты позволят снизить риск успешных компрометаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: