APT-C-35 атакует Пакистан с помощью нового трояна ShadowAgent

Группа APT-C-35 давно известна своей деятельностью против Пакистана и соседних стран. Её основная цель - хищение конфиденциальной информации. Активность группы отслеживается с 2016 года, и в последнее время наблюдается рост частоты и технической сложности её атак.

Анализ цепочки атаки

Атака начиналась с распространения ZIP-архива, содержащего два документа-приманки и исполняемый файл, замаскированный под иконку PDF. При запуске этого файла троянец извлекал из своих ресурсов зашифрованную конфигурацию. Для обеспечения устойчивости на зараженной системе создавалась плановая задача с маскировочным именем «NVIDIA_taskHost», которая ежедневно в 9:00 запускала вредоносный файл Annexure.exe. Основная полезная нагрузка троянца заключалась в сборе и эксфильтрации чувствительных данных с устройства жертвы.

Технический анализ показал, что троянец собирает широкий спектр системной информации, включая идентификатор устройства, имя хоста, имя пользователя и данные об установленном защитном ПО. Все данные структурировались в JSON, шифровались и отправлялись на управляющий сервер через HTTPS POST-запрос. После успешного подтверждения получения данных троянец устанавливал постоянное соединение с сервером через WebSocket для получения команд.

Функционал ShadowAgent позволяет злоумышленникам выполнять на зараженном компьютере различные действия. Команды, передаваемые в JSON-формате, включают выполнение произвольных инструкций в командной строке cmd или PowerShell, обход дисков, а также полный цикл операций с файлами: загрузку, скачивание, удаление, перемещение и манипуляции с папками. Отдельная группа команд предназначена для скрытной загрузки дополнительных модулей, в том числе запакованных в ZIP-архивы с паролем.

Связь с предыдущими кампаниями

Исследователи обнаружили связь этой кампании с другим вредоносным образцом - загрузчиком, который использовался группой «Брюхоногие» ранее. Ключевым доказательством стало совпадение цифровых сертификатов, использованных для подписи обоих файлов. Это указывает на контроль над обоими компонентами со стороны одного и того же субъекта.

Анализ загрузчика выявил характерные для APT-C-35 техники. Например, чувствительные строки в коде защищены комбинацией шифрования AES и кодирования Base64. Для обеспечения устойчивости также создается плановая задача, маскирующаяся под процесс .NET Framework. Собранные данные шифруются и отправляются на сервер в формате, исторически свойственному этой группе - с префиксом «mopd=». Логика взаимодействия с командным сервером, включая проверку ответа на наличие специфических маркеров, также совпадает с предыдущими атаками.

Кроме того, инфраструктура, использованная в атаке, соответствует известным характеристикам группы. Так, JARM-отпечаток сервера brityservice[.]info и использование сертификатов Let’s Encrypt для доменов в зоне .info ранее наблюдались в кампаниях APT-C-35.

Заключение и рекомендации

Группа APT-C-35 демонстрирует постоянное развитие своего арсенала и адаптацию к современным средствам защиты. Новая кампания с троянцем ShadowAgent подтверждает эту тенденцию: злоумышленники совершенствуют методы социальной инженерии, маскировки и скрытности командного канала.

Эксперты напоминают о важности базовых мер кибергигиены для противодействия подобным угрозам. Сотрудникам организаций, особенно в государственном секторе и смежных отраслях, следует сохранять бдительность. Крайне важно избегать открытия вложений и переходов по ссылкам из непроверенных источников, а также регулярно обновлять программное обеспечение и использовать комплексные решения для безопасности.

Domains

• brityservice.info
• www.mydropboxbackup.com

URLs

• https://brityservice.info:443//ZxStpliGBsfdutMawer/lkhgBrPUyXbgIlErAStyilzsh
• https://brityservice.info:443//ZxStpliGBsfdutMawer/lkhgBrPUyXbgIlErAStyilzsh/N1/SA

WebSocket Secure

• wss://www.mydropboxbackup.com:443/analytics/stream?device_token=b4c08eab17da3c59

MD5

• 1c335be51fc637b50d41533f3bef2251
• 20c9ac59c444625a7ee364b410da8f11
• f78fd7e4d92743ef6026de98291e8dee