APT-C-56 «Прозрачное племя» развернуло атаки на Windows и Linux с новым RAT

По данным исследователей из 360 Advanced Threat Research Team, в недавней кампании группа атаковала системы как под управлением Windows, так и Linux, используя новые методы и нагрузки. Атаки характеризуются высокой избирательностью и скрытностью. В среде Windows злоумышленники использовали файлы с расширением .ppam, содержащие встроенные макросы. Эти макросы отвечали за загрузку вредоносных нагрузок с удаленных серверов, что запускало сложную многостадийную цепочку атак, конечной целью которой был сбор конфиденциальных данных.

В случае с Linux атака проводилась через файлы .desktop, которые представляют собой аналог ярлыков в этой операционной системе. Злоумышленники маскировали файлы под документы, используя такие названия, как Def_Sec_Briefings_Schedule.pdf.desktop, чтобы обмануть пользователя и побудить его к запуску. После выполнения файл загружал и открывал поддельный документ-приманку, параллельно скачивая и исполняя основную вредоносную нагрузку для осуществления шпионских функций.

Ключевым изменением в этой кампании стал отказ группы от ранее используемых инструментов. На платформе Windows больше не применялся известный CrimsonRAT, а на Linux - компонент Poseidon. Вместо них на обеих платформах был развернут совершенно новый RAT (Remote Access Trojan - троян удаленного доступа), написанный на языке программирования Golang. Анализ кода показал определенное сходство между версиями для разных операционных систем, что указывает на общее происхождение.

Атака на Linux начиналась с исполнения .desktop файла. Внутри этого файла содержалась команда, которая с помощью утилиты curl загружала ELF-файл (исполняемый файл Linux) из контролируемого злоумышленниками домена trmm[.]space. Файл сохранялся во временной директории с именем, начинающимся на Def_Sec_Briefings_Schedule.pdf-, после чего ему назначались права на выполнение и он запускался. Параллельно в браузере Firefox открывался документ с Google Диска, который представлял собой фиктивное расписание брифингов для Министерства обороны Индии, служащее приманкой.

Сами ELF-файлы, выступающие в роли бэкдора, имели значительный размер около 7.8 МБ из-за особенностей компиляции в Golang. Их функционал включал сбор базовой информации о системе, такой как имя пользователя, имя хоста и идентификаторы процессов. Затем вредоносная программа проверяла свое присутствие в системе на предмет устойчивости. Если она не была внедрена для постоянной работы, то прописывала себя в конфигурациях systemd и добавляла задание в cron для обеспечения автозапуска. Для связи с командным сервером использовался адрес solarwindturbine[.]site на порту 4000. После установки соединения RAT мог выполнять две основные функции: выполнение команд и кражу файлов. Команды делились на три категории: просмотр содержимого директорий, загрузка файлов на сервер злоумышленника и выполнение произвольных системных команд. Дополнительно активировался модуль сбора данных, который искал и передавал файлы с определенными расширениями, включая .pdf, .doc, .xls, .ppt, .txt, .zip и .rar.

В сценарии для Windows атака инициировалась через файлы .ppam, которые представляют собой надстройки для Microsoft PowerPoint. Имена файлов, такие как "Jammu Kashmir Police Letter Dated 31July.ppam", были тщательно подобраны для социальной инженерии. При открытии файла и разрешении выполнения макросов показывалась фальшивая панель прогресса с текстом "Loading file is opening...", чтобы усыпить бдительность пользователя. Затем макросы загружали два элемента: настоящий документ-приманку в формате PPTX с того же домена trmm[.]space и ZIP-архив, защищенный паролем "DefenceIndia2025". Этот пароль был жестко зашит в макросах, что позволяло автоматически распаковать архив, обходя статические проверки антивирусов. Из распакованного архива запускался файл ProxifierSetup.exe.

Этот EXE-файл, также скомпилированный в Golang и весящий около 27.6 МБ, являлся основной нагрузкой для Windows. Перед началом работы он проводил несколько проверок на анализ окружения, включая детектирование виртуальных сред, песочниц и отладчиков с помощью хитроумной проверки времени выполнения. Пройдя эти проверки, троян копировал себя в директорию %ProgramData%, устанавливал атрибуты "скрытый" и "системный" и прописывался в автозагрузку через реестр. Далее он устанавливал TCP-соединение с командным сервером, собирал обширную информацию о жертве, шифровал ее и отправлял. Собираемые данные включали уникальный идентификатор, имя компьютера, пользователя, название антивирусного ПО, внешний IP-адрес и приблизительное местоположение. Функционал управления был схож с Linux-версией и поддерживал команды для списка файлов, их загрузки и скачивания, при этом крались файлы с расширениями, характерными для документов и архивов.

Атрибуция этой кампании группе APT-C-56 «Прозрачное племя» основана на нескольких факторах. Тактика, техники и процедуры атак совпадают с предыдущими активностями группы. Использование .ppam файлов с макросами и последующей загрузкой полезной нагрузки - их фирменный стиль, так же как и применение .desktop файлов для атак на Linux. Повторное использование домена trmm[.]space для обеих платформ, переход на написание основных инструментов на Golang и тематика приманок, сфокусированная на индийских госструктурах, - все это убедительно свидетельствует в пользу данной атрибуции.

Группа «Прозрачное племя» подтверждает свою репутацию постоянно развивающейся и хорошо финансируемой кибергруппы. Их арсенал пополняется новыми инструментами, а атаки становятся все более изощренными и кроссплатформенными. Появление нового RAT, написанного на Golang, свидетельствует о стремлении к большей скрытности и обходу систем защиты. Данный случай лишний раз подчеркивает важность соблюдения базовых правил кибергигиены: пользователям и администраторам следует проявлять крайнюю осторожность при работе с файлами из непроверенных источников, особенно если они имеют двойные расширения или запрашивают разрешение на выполнение макросов и скриптов.

IPv4 Port Combinations

• 101.99.94.109:8080
• 45.155.54.122:8080
• 45.155.54.28:8080

Domains

• modindia.serveminecraft.net
• sinjita.store

URLs

• http://modgovindia.space:4000/commands
• http://seemysitelive.store:8080/ws
• http://solarwindturbine.site:4000/commands
• https://drive.google.com/uc?export=download&id=1Umc8DCCFjoclts_tndD1zyAJgDilAW7p
• https://drive.google.com/uc?export=download&id=1VQQiTt78N3KpYJzVbE-95uILnO84Wz_-
• https://filestore.space/SoftsCompany/d/76/CCleaner
• https://securestore.cv/ghg/Mt_dated_29.txt
• https://trmm.space/SoftsCompany/d/25/ProxifierSetup
• https://trmm.space/SoftsCompany/d/27/clipboard.txt

MD5

• 10b7139952e3daae8f9d7ee407696ccf
• 1ded71930d997de43a68e098d232e2e5
• 311f9894297fb1624a2c99ac5c8d8abf
• 3d272caf8bd0342550d65a425ef86f4d
• 55c020ba4045b92622bf0e0a43b3ca9d
• 5a25a5fc22f2adfe42ac493fd3757f6f
• 7405ce819ef85fd219c6a204b48cdae1
• 9fceef2d082a1df7779f5a09311c9a76
• a484f85d132609a4a6b5ed65ece7d331
• ab6022bde19d8495c56812ef5d1c6186
• abd95f897f392b19873d5fb0c7df8316
• aff4b4f121aba5046f781fc6aafe8de2
• e1b4572ea0780c963043819016f4c7a8
• ed923d191cc1f60b189b8356fdbf64d8