APT-36 использует фальшивые правительственные уведомления для скрытой установки шпионского ПО

Атака начинается с файла ярлыка Windows, замаскированного под PDF-документ. Поскольку операционная система по умолчанию скрывает расширение ".lnk", пользователь видит только имя "NCERT-Whatsapp-Advisory.pdf". При открытии файл запускает зашифрованную командную строку, которая незаметно для пользователя загружает и устанавливает вредоносный MSI-пакет с удаленного сервера. Этот начальный этап полностью происходит на внешней инфраструктуре злоумышленников, не требуя эксплуатации уязвимостей в программном обеспечении.

Основная полезная нагрузка представляет собой исполняемый файл, написанный на .NET. Он выполняет несколько ключевых функций. Во-первых, чтобы усыпить бдительность жертвы, программа декодирует и открывает поддельный PDF-документ, имитирующий официальное правительственное уведомление о киберугрозах. Пока пользователь изучает этот документ, в фоновом режиме разворачивается вредоносная активность.

Затем программа развертывает несколько компонентов на диске, включая вредоносную библиотеку "wininet.dll". Эта DLL предназначена для перехвата системных вызовов и реализации механизма командования и управления (C2). Библиотека содержит хардкодированный домен C2 и использует обфусцированные HTTP-эндпоинты. Для сокрытия их назначения символы в адресах хранятся в обратном порядке. Механизм позволяет удаленно выполнять команды на зараженной системе, проводить разведку, включая проверку установленных антивирусных продуктов, и загружать дополнительные модули.

Важным аспектом атаки является обеспечение устойчивости. Вредоносная программа создает HTA-файл со скрытым скриптом VBScript, который прописывает запуск основного исполняемого файла в ключе автозагрузки реестра Windows. Это гарантирует, что угроза останется активной даже после перезагрузки системы. На момент анализа экспертами домен управления был неактивен, однако механизм устойчивости сохраняет свою функциональность, что позволяет злоумышленникам возобновить контроль в любой момент.

Кампания демонстрирует характерные для APT-36 тактики: использование социальной инженерии на основе местных реалий, многоступенчатая доставка полезной нагрузки и применение методов сокрытия. Эксперты отмечают, что подобные атаки, использующие внешнюю инфраструктуру и легитимные процессы Windows, сложно обнаружить на ранних стадиях. Следовательно, организациям требуется проактивный подход к безопасности, включающий мониторинг подозрительных сетевых активностей, анализ недавно зарегистрированных доменов и обучение сотрудников распознаванию социальной инженерии.

Domains

• dns.wmiprovider.com
• wmiprovider.com

URLs

• https://aeroclubofindia.co.in/css/NCERT-Whatsapp-Advisory/winc

SHA256

• 4dd9e2085297515825416415413eae1c9632392cb159ac70e459d0ebeb2dd49d
• 580d6401775cd9dbd029893a97d0523315b7ccf70feaa9383bd1a67bf2016ab6
• aa5fe3b75d16022198f4c89d1cc6dff07bd654a3c34933a0764a9d100b4e6ca2
• bbcbce9a08d971a4bbcd9a0af3576f1e0aa0dad1b3cf281c139b7a8dd8147605
• e23ad0cc6633674103b725288fcc1fcb5995ba348bd760096d6d8ac0d019723c

Strings

• ffce827bd99b5e68fc04103f06ce489458
• nnb5dc76007c20b4ea51f14290262d1