СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
06.06.2025
#ИБ#Инфра

TA397: государственный кибершпион с фокусом на дипломатию и безопасность

TA397: государственный кибершпион с фокусом на дипломатию и безопасность

TA397 — государственно поддерживаемая хакерская группа с геополитическим фокусом

В недавнем отчёте подробно описана деятельность TA397 — кибергруппы, предположительно связанной с индийскими спецслужбами и ориентированной на сбор разведданных. Главной целью атак являются правительственные и оборонные структуры Европы и Азии, особенно те, которые имеют отношение к Китаю, Пакистану и стране-соседам. Несмотря на ограниченные по сравнению с другими государственно поддерживаемыми хакерами ресурсы, TA397 демонстрирует высокий уровень активности, креативность и адаптивность в своей оперативной тактике.

Методы и технологии атак

Основным каналом проникновения группы остаются фишинговые электронные письма, тщательно подстроенные под актуальные геополитические темы, что повышает шансы успешного заражения. Со временем TA397 перешла от использования известных уязвимостей (CVE) к более сложным методам, включая создание запланированных задач (scheduled tasks) для доставки и запуска вредоносных программ.

  • Использование разнообразных типов файлов: архивы MSC, LNK, CHM и RAR;
  • Создание скрытых задач, выполняющихся через PowerShell для загрузки полезной нагрузки и контроля системы;
  • Постоянное обновление и модификация методик доставки вредоносного ПО.

Вредоносное ПО и инфраструктура

TA397 использует такие инструменты, как Kugelblitz и разнообразные RATs (Remote Access Trojans), демонстрируя высокий уровень развития своих средств для кибершпионажа. Их инфраструктура построена с акцентом на высокую достоверность и надежность. Для обеспечения маскировки серверы используют сертификаты Let’s Encrypt, а URI на PHP выделяются включением имени компьютера и логина жертвы — такая последовательность облегчает обнаружение и анализ атаки.

Особое значение имеет использование уязвимости CVE-2024-43572 (известной как GrimResource), позволяющей выполнять удалённый код в контексте mmc.exe. Это активно эксплуатировалось в последних кампаниях группы. Исторически TA397 применяла вредоносные загрузчики, например, ArtraDownloader, однако новые методы предполагают более гибкую интеграцию последующих полезных нагрузок после первоначальной компрометации.

Географические и временные характеристики

Анализ временных меток операций TA397 показывает соответствие индийскому стандартному времени (Indian Standard Time), что косвенно подтверждает связь группы с Индией и помогает сориентироваться во временных рамках активности. Это укрепляет предположение о походжении и географии деятельности хакеров.

Стратегия и значимость TA397

TA397 является примером настойчивого и хорошо организованного участника кибершпионажа, который сочетает систематические методы с постоянно развивающимися инструментами. Их подход основан на глубоких знаниях геополитической обстановки и стратегиях обеспечения операционной безопасности. Это делает группу существенно важным игроком в сфере государственного кибершпионажа.

Примечательно, что инфраструктура TA397 частично совпадает с инфраструктурой других известных индийских хакерских групп, что свидетельствует о совместных усилиях в разведывательных операциях. Такая интеграция подчеркивает общие цели кибершпионажа в Южной Азии, особенно в областях национальной безопасности и дипломатии.

Ключевые выводы

  • TA397 работает преимущественно против правительственных и оборонных структур, связанных с Китаем, Пакистаном и соседними странами.
  • Группа использует фишинг и хитроумные методы доставки вредоносного кода через запланированные задачи.
  • Применяется широкий спектр типов файлов (MSC, LNK, CHM, RAR) для маскировки вредоносных операций.
  • Активно эксплуатируется критическая уязвимость CVE-2024-43572 (GrimResource).
  • Инфраструктура построена с высоким уровнем достоверности, применяя сертификаты Let’s Encrypt и уникальные URI.
  • Сопоставление времени операций с индийским часовым поясом поддерживает гипотезу о географическом происхождении группы.
  • Совместная деятельность с другими индийскими группами свидетельствует о сложности и координации разведывательных операций.

В целом, деятельность TA397 — это яркий пример современного государственного кибершпионажа, основанного на сочетании проверенных методов и инновационных подходов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: