APT-C-09 (Mahabharat), также известная как White Elephant, Patchwork, Dropping Elephant, - это APT-организация из Южной Азии, которая совершает кибератаки на Пакистан и другие соседние страны, в основном с целью кражи конфиденциальной информации. Несмотря на то, что исторические операции и инструменты атак организации были раскрыты отечественными и зарубежными поставщиками систем безопасности в течение многих лет, она не прекратила свои атаки, а наоборот, стала более интенсивной и продолжает действовать.
APT-C-09 (Mahabharat)
Недавно специалисты 360 Advanced Threat Research Institute обнаружили образцы атак организации, направленных на регион Пакистана, и выявили новые полезные нагрузки на базе Golang, которые относительно редко встречались в исторических атаках Mahabharat. Кроме того, на основе корреляционного анализа больших данных мы обнаружили поведение группы, распространяющей инструменты Quasar для кражи секретов в том же регионе в тот же период. Сочетание этих двух типов оружия для атак указывает на то, что организация прилагает значительные усилия для достижения одних и тех же целей и постоянно обогащает и расширяет свой арсенал атак. Поэтому в данной статье мы рассмотрим эти компоненты атак, особенно новую полезную нагрузку Golang, чтобы глубже понять суть подобных угроз.
Анализ активности атаки показывает, что для выполнения команд PowerShell используется вредоносный lnk-файл. Этот lnk-файл загружает файл-приманку и вредоносную полезную нагрузку с определенных URL-адресов и создает запланированные задачи для поддержания постоянства. Полезная нагрузка, Winver.exe, представляет собой скомпилированную на Golang вредоносную программу с цифровой подписью «RUNSWITHSCISSORS LTD.». Она получает различную информацию из взломанной системы и шифрует ее перед отправкой обратно на сервер C2.
Помимо полезных нагрузок Golang, мы также наблюдали использование Quasar RAT, которая представляет собой инструмент удаленного администрирования. Полезная нагрузка Quasar доставляется с помощью скомпилированного в Rust загрузчика msedge.exe. Полезная нагрузка, Client.exe, представляет собой сильно обфусцированную программу, написанную на C#, которая взаимодействует с сервером C2 для выполнения команд удаленного управления.
На основании проведенного анализа атаку можно отнести к организации APT-C-09 (Mahabharat). Характеристики и использование lnk-файла, а также цифровая подпись, найденная в полезной нагрузке Golang, соответствуют тем, которые ранее сообщались об этой организации. Сервер C2 также содержит строки, обычно ассоциирующиеся с Mahabharat. Кроме того, атака направлена на Пакистан, что совпадает с предыдущей деятельностью APT-C-09 (Mahabharat).
Таким образом, APT-C-09 (Mahabharat) активно проводит кибератаки против Пакистана и других соседних стран. Последние образцы их атак показывают, что для доставки компонентов Quasar организация использует бэкдоры на базе Golang и загрузчики, скомпилированные на языке Rust. Это свидетельствует о том, что организация постоянно совершенствует и модернизирует свои методы и инструменты атак. Пользователям напоминают о необходимости повышать осведомленность в вопросах кибербезопасности и избегать выполнения неизвестных образцов или перехода по ссылкам из незнакомых источников, поскольку такое поведение может привести к компрометации системы и утечке конфиденциальных документов и информации.
Indicators of Compromise
IPv4 Port Combinations
- 172.81.60.46:1005
URLs
- https://daily-mashriq.org/goyxdrkhjilchyigflztv
- https://espncrics.info/goaimdzfecbgrjjxdamdoo
- https://quranchapter.t-cdn.org/wp-includes/javascript/juicesdafekohioshfoshfhiofh/quran
- https://ruz98.b-cdn.net/22
MD5
- 0aa22fa3333c891a139187442ecf0e81
- 1154b7d8bd2e631f8fcd50a53d6173ba
- 13dcd6f1fd44f7f15651153167b646cc
- 4f8bd643c59658e3d5b04d760073cbe9
- dfb97438f0ec94e78a2a1e3d32bc11d5