APT-C-24 (SideWinder) активизировалась: новые атаки с использованием LNK-файлов для таргетированного шпионажа

Кто стоит за атакой?

APT-C-24 - это долгоживущая группа, работающая с 2012 года. Их основная цель - хищение конфиденциальных данных из правительственных, энергетических, военных и горнодобывающих секторов. География атак включает Пакистан, Афганистан, Непал, Бутан, Мьянму и другие страны региона. В текущей кампании мишенью стали Непал и Шри-Ланка.

Как работает атака?

Злоумышленники распространяют ZIP-архивы, содержащие три LNK-файла с двойными расширениями, например - file 1.docx.lnk. Эти файлы выглядят как документы, но на самом деле являются ярлыками, которые при запуске инициируют выполнение удалённого сценария через утилиту mshta.exe.

Каждый LNK-файл обращается к URL с параметром yui=0, 1 или 2. Например:
https[:]//policy.mail163cn.info/36287654-New?yui=1

Сценарий на удалённом сервере проходит несколько этапов сложной обфускации. После декодирования он выполняет две ключевые функции: создаёт поддельный документ в папке %TEMP%, чтобы усыпить бдительность жертвы, и проверяет конфигурацию системы - количество ядер процессора и объём оперативной памяти. Если система соответствует требованиям (не менее 2 ядер и 810 МБ ОЗУ), в память загружается следующий этап атаки.

Особенности вредоносной нагрузки

Основной нагрузкой стал загрузчик на C#, который ищет в системе процессы антивирусов (например, Касперского или ESET). При обнаружении защитных решений он отправляет на сервер информацию о найденном ПО. Затем он расшифровывает поддельный документ и открывает его - это часть тактики маскировки.

Финальный этап - загрузка и выполнение основной вредоносной нагрузки прямо из памяти. Серверы группы быстро меняются и отвечают только на запросы из определённых географических зон, что осложняет анализ.

Принадлежность к APT-C-24

Эксперты уверенно связывают кампанию с «Гремучей змеёй» по нескольким признакам: использование одинаковых параметров в URL (yui=0/1/2), схожие методы обфускации, структура доменных имён (с включением слов nepal, army, lk), а также совпадения в JARM-отпечатках и заголовках серверов.

Выводы и рекомендации

Группа APT-C-24 демонстрирует высокую адаптивность: вместо уязвимостей в Office (таких как CVE-2017-0199 и CVE-2017-11882) они перешли на LNK-файлы, что повышает скрытность атак. Их инфраструктура быстро обновляется, а атаки носят целевой характер.

Чтобы защититься от подобных угроз, организациям следует усилить мониторинг сетевой активности, блокировать подозрительные URL, обучать сотрудников кибергигиене и использовать современные системы обнаружения аномалий. Особое внимание стоит уделить сегментации сетей и применению принципа наименьших привилегий.

URLs

• https://dntnavymil.mofw.pro/training-80ea91/flk?yui=0
• https://downloads.masarh.live/02619133-file
• https://downloads.masarh.live/41144703-file
• https://downloads.masarh.live/44964237-file
• https://downloads.masarh.live/55841075-file?yui=0
• https://downloads.masarh.live/61660089-file
• https://downloads.masarh.live/97588e6c-5ca3-4559-8213-6569271da6c8
• https://dtecyber.nepalarmy-milnp.info/71914708-Advisory?yui=0
• https://dtecyber.nepalarmy-milnp.info/71914708-Advisory?yui=1
• https://dtecyber.nepalarmy-milnp.info/71914708-Advisory?yui=2
• https://dteofmediapsyops.army-lk.com/67f06457-Advisory?yui=0
• https://dteofmediapsyops.army-lk.com/67f06457-Advisory?yui=1
• https://dteofmediapsyops.army-lk.com/67f06457-Advisory?yui=2
• https://lk.aliyumm.pro/GroundTacCdr_15362663/flk?yui=0
• https://lk.aliyumm.pro/GroundTacCdr_15362663/flk?yui=1
• https://mailafdgovbd.163inc.org/b965f3-catictrainingdayforbd/hta?q=0
• https://mailafdgovbd.163inc.org/b965f3-catictrainingdayforbd/hta?q=1
• https://mailafdgovbd.163inc.org/b965f3-catictrainingdayforbd/hta?q=2
• https://mailnepalarmymil.mods.email/dispachofapc-46703841?yui=0
• https://mailnepalarmymil.mods.email/dispachofapc-46703841?yui=1
• https://mailnepalarmymil.mods.email/dispachofapc-46703841?yui=2
• https://policy.mail163cn.info/08395961-New
• https://policy.mail163cn.info/30668710-New
• https://policy.mail163cn.info/34016917-New?yui=1
• https://policy.mail163cn.info/34016917-New?yui=2
• https://policy.mail163cn.info/46785583-New
• https://policy.mail163cn.info/93971697-New?yui=0
• https://policy.mail163cn.info/cdd5de23-40c7-4600-997a-ef0ec80278dc
• https://sudden.nepalarmy-milnp.info/3514a03e_dv?yui=0

MD5

• 02a453c547a9209e97f11f5ad66e0100
• 03aaeea52ff6bc37f87aeebf1b89db28
• 10569403ab4e8057d560e2474bed4c4c
• 14632adccc9620b66ac4a3c52946f8c4
• 1912b2d5e88d8dc277c7890bb4a318e0
• 193a676eb9f32a8106ac4282eca90385
• 2e382c82d055e6e3a5feb9095d759735
• 3a97695937d9501423f100d76af24cc1
• 3c92342e979a1b69abb3b2031c2dfa26
• 5ce07c6ce99724105168272cc4e90a30
• 5dd45b3cdf793c9f2d74209f58e555d6
• 65c7b3577358f1d3ce4a004d4f73f35d
• 6a36e86888e7f935f10fba64bd3bca0f
• 6ad920494159cc05939306eaf4e0e24a
• 6b0d026c57528db28cb9673248041e4a
• 6ff8bdc2193284cb386aef100a7ab1ac
• 73a0170ea882989f6ffc3b4726a3ee56
• 76f6b482aa1a269e32b635aec95859ec
• 7b837afa327f8a240538b5cb33534e88
• 8095abe0069410eb759164d2c63e852c
• 81486a49dc1d67d69445024ae18b897e
• 87486660bfccdf25d6b965b39ab67c7a
• 88fabd9218a8390aa56b51207731ab7d
• 8ad6a9b6662d21953d98b3c3bd1020b0
• 8cdaa9720d4b0ecf457102eaa6cd9814
• b8be125e6f496b0d5856fd4c2b59d778
• bdaae38dd135bb79de4beace3196123d
• beccecea59ddc553597dd5099ba94f6b
• bfc9a7d7a363cbda70b0e407b47effb8
• cdb8733c5fba4d01490c846690efed48
• d923a3adf955f76227c49b7544099ce0
• e10c8df203a7a195a44ee629fcf0c756
• e97dfbd92d6198e01364a3e6ec760962
• f2236cc00743583b425e2064197d66d6
• fb49a808ed082d5d12effda0972ae441