APT36 атакует Индию через фишинговые PDF-файлы с многоступенчатым вредоносным ПО для Linux и Windows

Кампания начинается с фишинговых электронных писем, содержащих вложения, маскирующиеся под официальные документы Министерства обороны Индии. Например, один из образцов для Linux представляет собой исполняемый файл ELF32 с названием «Approved-List-For-Promotion.pdf». При запуске он создаёт скрытый каталог, загружает дополнительные компоненты и, что важно, открывает настоящий PDF-файл. Этот документ содержит детализированный список из 195 военнослужащих инженерных войск, утверждённых к повышению до звания «суб-майор» (Sub Major), и обладает всеми атрибутами подлинности, включая подписи и печати. Эта тактика призвана успокоить бдительность жертвы и отвлечь внимание от фоновых вредоносных процессов.

На платформе Linux основной полезной нагрузкой является файл «gkt3.1» - исполняемый файл ELF, созданный с помощью PyInstaller. После распаковки он раскрывает себя как скомпилированный Python-модуль «agent-svc.py». Этот агент представляет собой полнофункциональный RAT. Он собирает системную информацию, такую как имя пользователя, имя хоста и MAC-адрес, для создания уникального идентификатора. Для обеспечения постоянного присутствия в системе он копирует себя в скрытую директорию пользователя и создаёт службу systemd на уровне пользователя, что позволяет ему автоматически запускаться при входе в систему.

Функционал этого агента обширен. Он может выполнять произвольные команды оболочки, запускать код Python, а также загружать и выгружать файлы. Кроме того, он способен архивировать данные и делать скриншоты рабочего стола. Для связи с командным сервером агент использует простой HTTP-протокол, периодически опрашивая C2 (Command and Control, центр управления) по адресу hxxp://164.215.103[.]230:20145 для получения инструкций. Анализ исходного кода указывает на его экспериментальную природу, например, функция кражи паролей содержит лишь заглушку с сообщением о необходимости другого файла для Windows 11.

Атака на системы Windows демонстрирует ещё более сложный цепочку доставки. Вместо исполняемого файла жертве сначала присылают ярлык (LNK-файл) с названием, имитирующим заявление на обновление данных. Этот ярлык использует легитимный системный инструмент «mshta.exe» для выполнения вредоносного кода, загружаемого с удалённого URL. Код написан на HTA (HTML Application) и использует многослойное шифрование, включая кастомный Base64 и XOR-шифрование с фиксированным ключом «NMSOW__68923_MOXOE».

Расшифрованный полезный груз выполняет несколько критических действий. Во-первых, он проверяет наличие и версию .NET Framework в системе. Затем, используя уязвимость в механизме сериализации .NET (BinaryFormatter), он десериализует и выполняет вредоносный код непосредственно в памяти, минуя запись на диск. Первый этап этой атаки отключает важную проверку безопасности .NET ("DisableActivitySurrogateSelectorTypeCheck"), прокладывая путь для выполнения второго, более опасного, этапа - загрузки DLL-библиотеки.

Финальная полезная нагрузка для Windows - это DLL-библиотека, которая также является продвинутым RAT. Она начинается с проверки сетевого подключения, пытаясь связаться с такими ресурсами, как Google DNS или сайт Microsoft. Затем зонд сканирует систему на наличие установленных антивирусных решений, включая Kaspersky, Avast, AVG, Avira и Windows Defender. В зависимости от обнаруженного продукта троян выбирает различные методы обеспечения устойчивости. Эти методы варьируются от создания записей в реестре автозагрузки до размещения скриптов в папке «Startup» или использования PowerShell для скрытного запуска.

Основной функционал этого RAT реализован через постоянное соединение с другим командным сервером по адресу 2.56.10[.]86:8621. Команды шифруются с помощью AES в режиме ECB с фиксированным ключом, что является слабостью с точки зрения криптографии. Арсенал возможностей обширен: управление процессами, сбор системной информации и списков установленного ПО, захват скриншотов, манипуляция файлом hosts и буфером обмена, выполнение команд оболочки и полное управление файловой системой.

Особого внимания заслуживает функция слежения за USB-накопителями. Троян в фоновом режиме отслеживает подключение съёмных дисков через WMI. Как только новый USB-накопитель обнаруживается, он немедленно сканирует его, копируя все файлы с определёнными расширениями (документы Office, PDF, TXT, базы данных Access) в скрытую папку на заражённом компьютере для последующей эксфильтрации злоумышленниками.

В целом, эта кампания демонстрирует высокий уровень подготовки группы APT36. Использование тщательно изготовленных фишинговых приманок, кросс-платформенные вредоносные нагрузки, сложные цепочки выполнения, обход механизмов безопасности и широкий спектр функций шпионажа - всё это характерно для целевой атаки. При этом анализ кода Windows-версии трояна выявляет множество ошибок, незавершённых функций и слабых мест в реализации, что указывает на активную стадию разработки этого инструмента. Эксперты по безопасности рекомендуют организациям, особенно в оборонном и государственном секторах Индии, усилить меры по осведомлённости пользователей о фишинге и применять многоуровневую защиту, способную обнаруживать подобные сложные и многоэтапные атаки.

IPv4 Port Combinations

• 164.215.103.230:20145
• 2.56.10.86:8621

MD5

• 1426bdff1ef4466c37631a51c2ba6e48
• 180c88e45db8a2bcc095f32ca71ab8f6
• 24e010830cbb42384bf609f8acf91c46
• 30fda797535a0f367ea2809426760020
• 403ea69b8b75e16a644d12053eb2659a
• 40ef50cc91a890ecb7726a72fe130424
• 57ba3d1bfc8724668c52b98908bf159a
• 689af44a940f293ea659603aee2323b3
• 75245a9be77dc6014e079cf249a98ab3
• 813b69e1ffeb70cdd5a63a8103a896d3
• 90796ed66e7f5f36b6317e6bdf9718ce
• a4f1cc3537eb8dd669c3cc16cdf7b798
• a53b1134f5bad31b407f5f597fd1cfa3
• c345c4a04df2d324f594e2ae9040daf8
• ceb715db684199958aa5e6c05dc5c7f0
• de035f212161f33accc610793fdcaa67