APT36 атакует индийскую оборону через фишинговые PDF с вредоносным ПО для кражи данных

При открытии такого PDF-файла жертва видит размытый фон и кнопку, стилизованную под интерфейс входа в систему Национального центра информатики (NIC). Нажатие на нее перенаправляет пользователя на поддельный сайт и запускает загрузку ZIP-архива, содержащего исполняемый файл, замаскированный под легитимное приложение.

Эта кампания демонстрирует, что APT36 продолжает фокусироваться на краже учетных данных, стремясь получить долгосрочный доступ к защищенным сетям индийских военных. Эксперты подчеркивают необходимость усиления защиты электронной почты, повышения осведомленности пользователей и внедрения систем мониторинга угроз.

Как работает атака

Злоумышленники рассылают письма с вложением «PO-003443125.pdf». При открытии файла пользователь видит сообщение о том, что документ защищен, и предлагается нажать кнопку «Click to View Document». Взаимодействие с ней приводит к перенаправлению на вредоносный URL, откуда скачивается архив «PO-003443125.pdf.7z». Внутри находится исполняемый файл «PO-003443125.pdf.exe», который маскируется под PDF, но на самом деле является вредоносной программой.

Домен superprimeservices[.]com, используемый в атаке, был зарегистрирован в октябре 2024 года и размещен на серверах Cloudflare в Бразилии. Это типичная тактика злоумышленников - использовать временные домены и инфраструктуру крупных хостинг-провайдеров для усложнения отслеживания.

Технический анализ вредоносного ПО

Файл «PO-003443125.pdf.exe» использует несколько методов для противодействия анализу и маскировки своей деятельности:

• Антиотладка и антианали: Программа проверяет, запущена ли она в отладочной среде (с помощью функции IsDebuggerPresent), и завершает работу при обнаружении анализа. Также применяется метод IsWow64Process для выявления виртуальных машин и песочниц.
• Скрытая загрузка скриптов: Вредонос использует встроенные ресурсы для загрузки скриптов в память, что позволяет ему обходиться без записи файлов на диск (fileless-атака). Это усложняет обнаружение традиционными антивирусными решениями.
• Кража данных:  Модули вредоносного ПО перехватывают ввод с клавиатуры (GetAsyncKeyState, GetKeyState), отслеживают содержимое буфера обмена (OpenClipboard, GetClipboardData) и сканируют файловую систему в поисках ценных данных.
• Сетевая активность: Программа устанавливает соединения с подозрительными доменами через зашифрованные каналы (HTTPS), используя инфраструктуру Cloudflare и AWS для сокрытия реальных C2-серверов.

Рекомендации по защите

Чтобы минимизировать риски от подобных атак, организациям следует:

• Обучать сотрудников распознаванию фишинговых писем и подозрительных вложений.
• Внедрять многофакторную аутентификацию для критически важных систем.
• Использовать расширенные системы мониторинга сетевой активности для выявления аномальных соединений.
• Регулярно обновлять ПО и применять патчи безопасности.

APT36 остается серьезной угрозой для индийских оборонных структур, и их методы продолжают совершенствоваться. Комплексный подход к кибербезопасности - единственный способ эффективно противостоять таким атакам.

IPv4

• 104.21.41.144
• 13.248.169.48
• 15.197.148.33
• 162.254.38.217
• 172.67.148.140
• 188.114.97.7
• 198.252.111.31
• 207.244.126.106
• 217.114.10.11
• 76.223.54.146
• 84.32.84.32

Domains

• 55cc.info
• 59292406.xyz
• advising-receipts.com
• boldcatchpoint.shop
• chillchad.xyz
• funday24.ru
• ggpoker.xyz
• kp85.cyou
• mczacji.top
• megasofteware.net
• rapio.site
• servisyeni.xyz
• slotgacorterbaru.xyz
• superprimeservices.com
• vipwin.buzz
• wholly-well.info
• worrr19.sbs
• zhangthird.shop

SHA256

• 55972edf001fd5afb1045bd96da835841c39fec4e3d47643e6a5dd793c904332
• 55b7e20e42b57a32db29ea3f65d0fd2b2858aaeb9307b0ebbcdad1b0fcfd8059
• f03ac870cb91c00b51ddf29b6028d9ddf42477970eafa7c556e3a3d74ada25c9