Главная страница » Индикаторы компрометации
0
13 часов
Индикаторы компрометации

Активность Sheet Attack: кибершпионаж с использованием AI и облачных сервисов

APT

Сентябрь 2025 года стал поворотным моментом для исследователей угроз из Zscaler ThreatLabz. В ходе анализа кампании Sheet Attack, нацеленной на правительственные структуры Индии, были выявлены три новых вредоносных бэкдора, получивших названия SHEETCREEP, FIREPOWER и MAILCREEP. Эта кампания примечательна не только своей географической направленностью, но и инновационными тактиками злоумышленников, включающими злоупотребление доверенными облачными сервисами и, что особенно важно, признаки использования генеративного искусственного интеллекта (ИИ) в разработке вредоносного программного обеспечения (ПО).

Описание

Кампания Sheet Attack выделяется использованием Google Sheets в качестве канала командования и управления (C2), что является необычным подходом в регионе. В период с ноября 2025 по январь 2026 года исследователи наблюдали развертывание новых инструментов. Основной вектор атаки начинался с фишинговых PDF-файлов, которые имитировали официальные документы и содержали кнопку для загрузки «полной версии». При нажатии жертва перенаправлялась на контролируемый злоумышленниками сайт, который, после проверки геолокации и пользовательского агента, загружал ZIP-архив с вредоносным содержимым. В более поздних атаках использовались ярлыки LNK-файлы для запуска скриптов PowerShell.

Технический арсенал злоумышленников

Бэкдор SHEETCREEP, написанный на C#, представляет собой легковесный инструмент, использующий Google Sheets для скрытого взаимодействия. Он расшифровывает конфигурацию, содержащую учетные данные Google Cloud и идентификатор таблицы, создает уникальный идентификатор жертвы и затем каждые три секунды опрашивает определенные ячейки таблицы на наличие новых команд. Команды выполняются через скрытый процесс cmd.exe, а их результаты, зашифрованные и закодированные, записываются обратно в таблицу. Таким образом, легитимный облачный сервис превращается в невидимый канал управления.

FIREPOWER - это PowerShell-бэкдор, который для C2-коммуникации использует базу данных Google Firebase Realtime. Он создает в базе данных набор ключей для каждой жертвы, которые управляют его логикой: загрузкой файлов по указанным URL, выполнением команд и сбором информации о системе. Бэкдор также собирает и выгружает список файлов и каталогов с компьютера жертвы. Различные варианты FIREPOWER демонстрируют эволюцию, добавляя функции обеспечения постоянства (persistence), отладки и очистки следов.

Третий инструмент, MAILCREEP, написан на Go и использует Microsoft Graph API для манипуляций с электронной почтой в контролируемом злоумышленниками Azure-тенанте. Он создает в почтовом ящике папку для каждой жертвы и ищет письма с определенными темами. Содержимое этих писем расшифровывается, после чего команды выполняются на зараженной системе. Через FIREPOWER злоумышленники также развертывали специализированный похититель документов, который искал файлы с определенными расширениями и загружал их в приватный репозиторий GitHub.

Следы искусственного интеллекта в коде

Одним из самых значимых открытий ThreatLabz стали признаки использования генеративного ИИ в процессе разработки этого вредоносного ПО. В коде бэкдора SHEETCREEP исследователи обнаружили эмодзи в блоках обработки ошибок, что является нетипичным стилем для ручного программирования. В скриптах FIREPOWER присутствовали многословные комментарии с нестандартными символами, такими как юникод-стрелки, что также характерно для кода, сгенерированного нейросетями. Эти «отпечатки пальцев» соответствуют глобальному тренду, задокументированному компаниями вроде Google и OpenAI, когда злоумышленники используют ИИ для ускорения создания и модификации вредоносных инструментов.

Однако присутствие орфографических ошибок в коде и опечаток в командах, наблюдаемых в каналах C2, указывает на то, что процесс разработки не был полностью автоматизирован. Это свидетельствует о сочетании автоматической генерации и последующей ручной доработки, а также о прямом участии оператора в управлении атакой.

Вопросы атрибуции и связь с APT36

ThreatLabz оценивают со средней степенью уверенности, что кампании Gopher Strike и Sheet Attack могут быть работой новой подгруппы или параллельной группы, связанной с Пакистаном, несмотря на очевидные сходства с известной угрозой APT36. В пользу связи указывает схожая виктимология, а именно фокус на индийские госучреждения, частичное пересечение инструментария и использование фишинговых PDF-приманок схожего дизайна. Инфраструктура, такая как часовой пояс Asia/Karachi в логах GitHub, также указывает на пакистанский след.

Тем не менее, существуют и заметные отличия. В этих кампаниях применяются техники уклонения, ранее не характерные для APT36, например, серверная фильтрация по Geo-IP. Кроме того, в тот же период классическая активность APT36 использовала иные инструменты для атак на Linux и Windows, которые не были замечены в Sheet Attack. Анализ метаданных PDF-файлов также показывает различия в программном обеспечении, используемом для их создания.

Заключение

Кампания Sheet Attack наглядно демонстрирует эволюцию тактик кибершпионажа. Злоумышленники активно используют легитимные облачные сервисы для маскировки вредоносного трафика, что усложняет его обнаружение традиционными средствами защиты. Параллельно наблюдается адаптация передовых технологий, таких как генеративный ИИ, для оптимизации процесса разработки вредоносного ПО. Совокупность этих факторов указывает либо на значительную модернизацию методов группы APT36, либо на появление новой, технически подкованной группы, перенимающей и развивающей известные подходы. Данный тренд подчеркивает необходимость для компаний и государственных организаций внедрять комплексные стратегии безопасности, включающие анализ поведения и контроль за доступом к облачным сервисам.

Индикаторы компрометации

IPv4

  • 15.207.85.170

Domains

  • coadelhi.in
  • hciaccounts.in
  • hcidelhi.in
  • hcidoc.in
  • hcisupport.in

URLs

  • https://docs.google.com/spreadsheets/d/1cB8jzFpQcixridoEz_eDvLnjCTx79gKFQSoFiuOErdM/edit
  • https://docs.google.com/spreadsheets/d/1cdSJvZ7tx6CPBuEa66uTVWmSD4zABnZOLjM87pRXkTE/edit
  • https://docs.google.com/spreadsheets/d/1wgx4gj3-YGGAwmtr1DRu4n1QkznK2pYoKO6C4GTmquY/edit
  • https://gov-service-in-default-rtdb.firebaseio.com
  • https://govs-services-in-default-rtdb.firebaseio.com
  • https://hciaccounts.in/Documents.zip
  • https://storage.googleapis.com/testfirebase-b24a8.appspot.com/config1.txt
  • https://testfirebase-b24a8-default-rtdb.firebaseio.com/(12336)005056C0000186/details.json
  • https://webdevurl-cc389-default-rtdb.firebaseio.com

MD5

  • 03141afe5c20d37620c085cdbeb4058b
  • 0729db72ab4ad9b2ac7a82918c744388
  • 0f7730a78490c61964b3bfc05eb59ea7
  • 119b836b4e1e7be8c3be8fe921f72bfb
  • 12669c29e00057abf20c73a434eb3dd2
  • 1ede39cb02b8aaa75063febc167db565
  • 21dacb6cf6da872f1f3c7b6c876a8a92
  • 41a3752e6ea83d25731f22e1c17f59e2
  • 5001c32b386cc8346079db7b2629d777
  • 556a567a2c5c27a6aa5660e2e6bcce7b
  • 62a23220b0249a15503f5ad762ed5889
  • 6bed5e271eddf5cb86a5964b8c2f51b6
  • 7269779e3fe07b1d96564117461ec75b
  • 87c7d69c6131406afdd0a08e89329d0a
  • a0b6869accba2c9ad3e1f79268a810d4
  • cd5aab2b0f8d2b42e7a6537303d6345d
  • e48f1000c86b93cf428a13a0b7384e0d
  • ed4dd29c57a38f2bb1934acbaeadeeba
  • f9a2da8f12179414663a230f11edca20

SHA1

  • 147055a1341737625cf0e878b7ebd5acf09d1883
  • 16410fe2c44272005ca3c2ce994d24e9c2e731f6
  • 2f46595d58bef1c70ca757e18bb04443b2d5ce72
  • 6140ed17fa47e0fa166449eaf2b2770fec0fedbd
  • 7bc5d288ec260765a146136194d815ff3c697df8
  • 8735e1af5134d1cd173b55b089e31becb0261677
  • 8f9843607ff0ed83ca58e21612b41d6e744beb81
  • 97712c11b83c31ba03b747cf39a49cd0e208c5f5
  • a38eab1ac01201b651b2efdebc78e994402976f1
  • a55c18a82203cf1efafac6f3c47642ab60c74ffc
  • aa9b4410004d43e4e5cc1fc2cda1956bc5663b03
  • ac06003a774af5a8e4be349fc6f0e65cea116370
  • b8fd6b4eece68095caeb26bdd1090ab7959f24aa
  • cdecfe8e1cacd1af204a5da52f6c02eb16fdea8b
  • daeeb031a9617e6f1b7bf4d85de9c75f62021c82
  • e333ae0948ede0cf1368deec53a1eda18210e75e
  • e9d9d8c0c818ba9208e61eaf49af4c1b37f4eb59
  • e9eeda092500d7c7f278672d35f733e0e26f0e2c
  • f68cd104bfa2ac9992a98936c6e97c41e680b698

SHA256

  • 20d72c8580b4d5ef4f771c91ce1d1207e5416fa789d8216a73a0abb8e030644f
  • 309a39ba10cd7c7075837b63d247fa45764f5496fdae215e95a3f4b65ab6dfc3
  • 363fca9534e5cb69e40330473bcbd0acc439cf81a555234eed250f65c98478e3
  • 43fb05d9fc179f791b1a2814f7116ee577b6e48f62eee63af039350260d7fe2b
  • 59abb997927e471472a1c487dea0180d11e9c99774bb138ace46771acba9c3d8
  • 61b2b6b61474398a966e26d3b909542450fcab9b6670558cecd6fabc1015bbce
  • 644dda0ea5db1eb5f07ccfccddb909c6ee57235c4465adbfc342da6867cdb71a
  • 71794df37a107472e8d0829387741953f9e6c7778519b11f061c79ff6fb0f386
  • 86d8b3fe209b3f1d9a20865ff1ee5d6015941c2a5394861118c8d6ec3695f1a6
  • 889b4b1e13b66aff349282eae3999783f5542f961b433a7d4653c5281e7f4d3e
  • 989ad43bb9e328d786664247c3af4c17be28932760113708a9c6de977d69652c
  • 9ab6d01a6df367ee505e59850438e6926dfb61c2ebfbe4e03eba48f70ee36ac3
  • 9eebbf8899a1cf4156a872e9b8cde2a8f6ab364b8089550510938405c622cc58
  • a97cc81a2f7c05bfc498b71999176c2aeb6e3ad273e48eb1f5c1c5647419c642
  • b56062033df06738b66c38b3fa2f82a7e8c558336a4790c83c7faad595172167
  • bb11bea463ab1b976c3716591f93eccc71c1a2d1c389a371416b140cd8faa6f0
  • bec00fa5a87195f182511ecc5292a716c79bc74e17bd1138c8fb2f2285df1b46
  • de14ca6d93dadbc1ec216700d76ad2d0e7b9ebceb95de68c631d0a1c01c915c4
  • eea5cb7795d86e4612edcc6f0085d151e1b7a7351646caf26955c2ac35158971
Комментарии: 0
Похожие записи
0
17.09.2025
Индикаторы компрометации

Киберпреступники массово используют фишинговые приманки для скрытой установки инструментов удаленного доступа

Stealer
Совместное исследование специалистов Red Canary Intelligence и Zscaler выявило новые фишинговые кампании, в которых злоумышленники используют социальную инженерию для тайной установки легитимных инструментов