APT36 атакует критическую инфраструктуру Индии: новые методы и расширение зоны поражения

Анализ последних атак показал, что APT36 использует два варианта заражения, каждый из которых имеет свою инфраструктуру. Первый вариант подразумевает единый сервер командования и управления (C2), тогда как второй отличается избыточностью и включает в себя дублирующие серверы, что усложняет обнаружение и блокировку злонамеренной активности. В обоих случаях используются .desktop-файлы, замаскированные под PDF-документы. Эти файлы служат приманкой, отвлекая внимание пользователя на легитимный контент, в то время как в фоновом режиме запускаются скрипты для загрузки вредоносного ПО.

Часть индикаторов данной атаки были обнаружены CYFIRMA Research в сентябре прошлого года.

После успешного заражения APT36 развертывает бэкдор Poseidon, разработанный на основе фреймворка Mythic и написанный на языке Go. Этот инструмент обеспечивает долгосрочный контроль над скомпрометированными системами, сбор информации и возможность перемещения внутри сети. Анализ инфраструктуры бэкдора выявил активные серверы C2, размещенные на платформе DigitalOcean в Германии и Индии. Кроме того, исследователи обнаружили более 350 серверов, использующих тот же фреймворк Mythic, что указывает на широкое применение подобных инструментов среди различных групп злоумышленников.

Параллельно с кампаниями по распространению вредоносного ПО APT36 продолжает активно использовать фишинговые домены, имитирующие официальные правительственные ресурсы Индии. Эксперты идентифицировали более 100 таких доменов, многие из которых зарегистрированы через хостинг-провайдера AlexHost и содержат поддомены, схожие с адресами индийских госучреждений. Например, фишинговый сайт drdo[.]gov[.]in[.]nominationdrdo[.]report был создан для кражи учетных данных через поддельную страницу входа, имитирующую портал DRDO.

Масштабная инфраструктура фишинга, дублирование серверов управления и применение сложных бэкдоров демонстрируют, что APT36 продолжает эволюционировать, становясь все более опасным игроком в сфере кибершпионажа. Их действия уже вышли за рамки традиционных целей в оборонном секторе и теперь угрожают ключевым элементам гражданской инфраструктуры Индии.

IPv4

• 165.22.251.224
• 165.232.114.63
• 178.128.204.138
• 209.38.203.53
• 37.221.64.202
• 64.227.189.57
• 99.83.175.80

Domains

• 37-221-64-252.cprapid.com
• accounts.mgovcloud.in.cloudshare.digital
• accounts.mgovcloud.in.indiagov.support
• accounts.mgovcloud.in.storagecloud.download
• dayenter.shop
• dmsupport.live
• drdo.gov.in.nominationdrdo.report
• email.gov.in.briefcases.email
• email.gov.in.defencedept.work
• email.gov.in.defenceindia.ltd
• email.gov.in.departmentofdefence.de
• email.gov.in.departmentofspace.info
• email.gov.in.indiadefencedepartment.link
• email.gov.in.indiandefence.work
• email.gov.in.indiangov.download
• email.gov.in.ministryofdefenceindia.org
• email.gov.in.modindia.link
• iaf.nic.in.ministryofdefenceindia.org
• indianarmy.nic.in.departmentofdefence.de
• indianarmy.nic.in.ministryofdefenceindia.org
• indianarmy.nic.in.nominationdrdo.report
• jkpolice.gov.in.kashmirattack.exposed
• mea.gov.in.indiandefence.services
• mod.gov.in.defencepersonnel.support
• mod.gov.in.indiandefence.directory
• mod.gov.in.indiandefence.services
• mod.gov.in.modpersonnel.support
• www.email.gov.in.defenceindia.ltd
• www.email.gov.in.indiandefence.work
• www.email.gov.in.modindia.link
• www.mnscare.live
• www.mod.gov.in.indiandefence.services

MD5

• 589cf2077569b95178408f364a1aa721
• 5c71c683ff55530c73477e0ff47a1899
• 6065407484f1e22e814dfa00bd1fae06
• 65167974b397493fce320005916a13e9
• 76e9ff3c325de4f2d52f9881422a88cb
• 8d46a7e4a800d15e31fb0aa86d4d7b7f
• b3f57fe1a541c364a5989046ac2cb9c5
• e354cf4cc4177e019ad236f8b241ba3c