Главная страница » Индикаторы компрометации
0
сейчас
Индикаторы компрометации

APT-C-56 атакует Linux-системы с новым вариантом DISGOMOJI

APT

Недавно эксперты 360 Advanced Threat Research обнаружили новую кампанию, в которой APT-C-56 использовал модифицированную версию вредоносного ПО DISGOMOJI, написанного на Golang. В отличие от предыдущих атак, злоумышленники задействовали Google Drive для распространения вредоноса и Google Cloud Platform (GCP) для передачи данных. Дополнительно загружались модули для кражи данных из браузеров и инструменты удаленного управления.

Описание

APT-C-56, также известный как Transparent Tribe, APT36, ProjectM или C-Major, - это южноазиатская группа угроз, специализирующаяся на целевых атаках с использованием социальной инженерии. Их основная цель - Индия и соседние страны. Группа известна своими многофункциональными вредоносными инструментами, включая CrimsonRAT для Windows и Poseidon для Linux.

Анализ атаки

Атака начинается с файла password, который отображает пароль к поддельному PDF-документу, одновременно загружая с Google Drive три файла: ec (дешифратор), x96coreinfo.txt (зашифрованные данные) и JAR-файл. Если загрузка не удается, активируется резервный сценарий с JAR-файлом, который скачивает intermediate.txt и дешифрует его. Конечный payload - x96coreinfo - оказывается вариантом DISGOMOJI, который взаимодействует с GCP, загружает украденные данные и устанавливает MeshAgent для удаленного контроля.

Детали вредоносных компонентов

Основной файл password написан на Golang и маскируется под утилиту для расшифровки PDF. После выполнения он проверяет доступность Google Drive, выводит пароль (647842) и модифицирует .bashrc для автоматической загрузки вредоносных компонентов.

JAR-файл x96-dependencies.jar скачивает промежуточный файл intermediate и дешифрует его с помощью ec, используя ключ Kavach0fficialDB. Файл intermediate, в свою очередь, создает сервис systemd для поддержания устойчивости атаки.

Финальный payload, x96coreinfo, собирает системную информацию, пароли из Firefox, документы (DOC, PDF, XLS и др.) и загружает их в GCP. Также он устанавливает поддельный Firefox с модулем, перехватывающим куки при посещении индийских государственных сайтов (например, email.gov.in).

Принадлежность к APT-C-56

Анализ TTP (тактик, техник и процедур) подтверждает связь с Transparent Tribe:

  • Использование Google Drive для скрытой доставки payload.
  • Схожесть DISGOMOJI с предыдущими версиями, но с переходом на GCP вместо Discord.
  • Схожие пути хранения файлов (например, .x96_32-linux-gnu).
  • Фокус на Linux и целевые атаки против индийских структур.

Эксперты рекомендуют усилить мониторинг необычной активности, связанной с Google Cloud, и проверять подозрительные ELF-файлы, особенно в корпоративных средах.

Индикаторы компрометации

URLs

  • http://46.202.153.236/cookies-handler.php
  • https://drive.google.com/uc?export=download&id=1hXrn-AQlVEPeNHkjLDw-Cj6uuZ1sNiwr
  • https://drive.google.com/uc?export=download&id=1KK45pYzBF5CF6hO_iw0MMMPZUEIy4fR7
  • https://drive.google.com/uc?export=download&id=1Mjb0yaFvUTREFAFKaPYpaJdrMHso_Fp-
  • https://drive.google.com/uc?export=download&id=1MZqE1kIo6Q5eI2CQ0o8dGWHxGVIzzBM4
  • https://drive.google.com/uc?export=download&id=1pTsXCIZByamTPV9qVdaYRVv87o0nf0mL
  • https://drive.google.com/uc?export=download&id=1s8VJ_ix5k-hSPwAiWYJMd6TrClWYtZQI
  • https://drive.google.com/uc?export=download&id=1ZreMbUude-F2zLWWeO2FNiKU7I7v7aSe
  • https://drive.usercontent.google.com/download?id=1iYpTG9y_J2BuUTiIMtn0BMHgYU3Zrm6n
  • https://drive.usercontent.google.com/download?id=1TqPzjwvRirB5U_V9NNjhpYC53hYtd4qu&export=download&authuser=0&confirm=t&uuid=cd9cfd85-7c03-477a-9fb0-4ad21f57&at=AEz70l609I4DMbUNVtlLPPytmQA-%3A1742974814202
  • https://saadac2.mywire.org/meshagents?script=1
  • https://saadac3.accesscam.org/meshagents?id=JEV2YwGY8a5qG5mKayrgQgvzlPXkeCeYbGDYA2Nkwch8VIoaRSQtV3CbSsHBfnB4&installfl

MD5

  • 1a17955be2f99813c03d9f4970131593
  • 2d9fb9303512a6b6e9a67c4d956a0e07
  • 43e4260c595b20e357be75c0c1fbec29
  • 452cd18570471e80dd6bf34addede334
  • 68fbe197c62a3777d2299f9eabed2c70
  • c763ecf315481525afcd47c5f32c1fd7
  • c8c21b4642f12c28f6e5e0389bbf8c36
  • d24c797f94933a3ec5227a6f57e15358
  • d5a3766e744a563278b18267d6bd7113
  • e429ebfbc827ac8a865dce20470d3e8b
  • fe7bb6d0835879043e4b9fef7fa59375
Комментарии: 0
Похожие записи
0
2 дня
Индикаторы компрометации

FIN6 атакует через облачные сервисы: как киберпреступники используют доверие и AWS для доставки вредоносного ПО

APT
Группировка Skeleton Spider, также известная как FIN6, продолжает совершенствовать свои методы атаки, используя социальную инженерию и облачные сервисы для распространения вредоносного ПО.
0
2 дня
Индикаторы компрометации

Stealth Falcon использует уязвимость CVE-2025-33053 для кибершпионажа на Ближнем Востоке

APT
Check Point Research обнаружили новую кампанию APT-группы Stealth Falcon, использующую файлы .url для эксплуатации уязвимости нулевого дня CVE-2025-33053. Уязвимость позволяет удаленное выполнение кода
0
3 дня
Индикаторы компрометации

Китайские хакерские группировки атакуют глобальные цели: от правительств до кибербезопасности

APT
В период с 2024 по 2025 год исследователи SentinelLABS зафиксировали масштабные операции китайских хакерских группировок, нацеленные на правительственные структуры, медиакомпании и даже поставщиков решений кибербезопасности.
0
3 дня
Индикаторы компрометации

Иранская хакерская группа использует генеративный ИИ для создания вредоносных PDF-документов

APT
Исследователи из Palo Alto обнаружили, что иранская хакерская группировка Agent Serpens, также известная как Charming Kitten, вероятно, использует генеративный искусственный интеллект для создания поддельных PDF-документов.