TA397: Индийский кибершпионаж против стратегических целей

Группа кибершпионажа TA397, также известная под прозвищем Bitter, привлекает внимание экспертов благодаря своей тщательно организованной деятельности, направленной на сбор разведданных в стратегически важных регионах. По имеющимся сведениям, групировка спонсируется правительством Индии и работает в первую очередь против организаций государственного, дипломатического и оборонного секторов, особенно в странах, соседствующих с Индией, а также в Европе и Южной Америке.

Область деятельности и цели

Активность TA397 сосредоточена на объектах, связанных с Китаем, Пакистаном и рядом других стран с геополитической значимостью для Индии. Основными целями группы являются:

• правительственные учреждения;
• дипломатические представительства;
• военно-промышленные организации.

Методы атаки и технические особенности

TA397 демонстрирует высокий уровень технической изощрённости, применяя различные методы для обеспечения постоянного доступа к заражённым системам. Распространёнными каналами проникновения служат фишинговые письма, которые маскируются под легитимные сообщения от правительственных или дипломатических органов.

Особенности этих фишинговых сообщений включают:

• вложения форматов CHM, упакованные в архивы RAR;
• ссылки на файлообменные сервисы;
• использование взломанных аккаунтов или доверенных почтовых провайдеров — 163.com, 126.com, ProtonMail;
• темы писем с ключевыми словами, связанными с авторизацией или приглашениями к участию в проектах, что указывает на интерес группы к конфиденциальной информации.

С 2016 года вредоносное ПО TA397 эволюционировало от простых загрузчиков до сложных Remote Access Trojan (RAT), отражая прогресс как в технологиях, так и в тактиках.

Инфраструктура и методы обеспечения устойчивости

Операционная инфраструктура TA397 работает в индийском стандартном времени (IST), что косвенно указывает на локацию операторов группы. Управление вредоносным ПО строится на основе запланированных задач, которые выполняются с регулярным интервалом примерно каждые 16–18 минут. Этот механизм позволяет поддерживать постоянную связь с C2-серверами, использующими сертификаты Let’s Encrypt.

В ходе последних расследований была обнаружена эксплуатация уязвимости CVE-2024-43572, а также использование разнообразных файловых форматов для загрузки и выполнения вредоносного кода:

• LNK;
• CHM;
• MSC;
• IQY;
• MS Access.

Такая разноплановость позволяет TA397 гибко адаптироваться к защитным механизмам и обходить системы безопасности.

Код и тактические особенности

Вредоносное ПО группы характеризуется:

• последовательными шаблонами кодирования;
• фокусом на сборе системной информации;
• широким применением методов обфускации;
• наличием общей кодовой базы, что свидетельствует о централизованной разработке.

Масштаб и структура командных серверов

Анализ C2-инфраструктуры выявил более 120 доменов, включающих как командные серверы, так и промежуточные звенья. Многие из них используют URL-шаблоны на основе PHP, что соответствует распространённым инженерным практикам вредоносного ПО данной группы.

Регулярное выполнение запланированных задач и строгое соответствие графику по IST подчёркивают системность и целеустремленность TA397 в реализации кибершпионских операций.

Выводы

TA397 представляет собой продвинутую и хорошо финансируемую кибершпионскую группу, методы и инструменты которой постоянно эволюционируют. Их деятельность направлена на масштабный сбор разведданных и демонстрирует методичный, последовательный подход к атаке стратегически значимых целей. Обеспечение устойчивости и непрерывного доступа через сложные цепочки заражения делает TA397 одним из наиболее заметных игроков на поле кибершпионажа в регионах Юго-Восточной Азии и за её пределами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.