Исследователи лаборатории Seqrite Labs зафиксировали новую кампанию целевого фишинга, направленную против Министерства финансов Исламского Эмирата Афганистан. Атака, получившая кодовое название Operation XENOFISCAL, затронула провинциальные налоговые и финансовые управления во всех 34 провинциях страны. Главная цель злоумышленников - получить удаленный доступ к системам афганских чиновников и вести скрытое наблюдение.
Описание
Событие примечательно тем, что демонстрирует высокий уровень осведомленности атакующих о внутренней структуре госорганов. Они использовали не просто фишинговое письмо, а вложение на языке пушту - доминирующем в административных учреждениях Афганистана. Файл назывался "Список сотрудников, отобранных для участия в семинаре по интеллектуальной и психологической войне". Такая тема указывает на знание операционной обстановки и реальных мероприятий в ведомстве.
Техническая цепочка атаки начинается с ZIP-архива, внутри которого находится вредоносный ярлык (LNK-файл). Он маскируется под документ PDF, но на самом деле запускает системную утилиту mshta.exe из папки C:\Windows\System32. Mshta.exe - это легитимный компонент Windows, предназначенный для выполнения HTML-приложений. Злоумышленники используют его для загрузки удаленного скрипта с сервера, работающего на скомпрометированном домене афганского образовательного учреждения abimj.edu.af.
При обращении к этому серверу по протоколу HTTPS загружается HTA-файл (HTML-приложение), содержащий сильно запутанный код на JavaScript. Внутри скрипта применяются приемы, затрудняющие анализ: строки представлены в шестнадцатеричном виде, а логика работы разбита на множество этапов. Во время выполнения скрипт имитирует системное сообщение об ошибке, чтобы отвлечь жертву, пока вредоносная нагрузка обрабатывается в памяти.
Следующий этап - работа с .NET-загрузчиком. Он скачивает из той же инфраструктуры легитимный документ-приманку. Это справочник сотрудников Министерства финансов по всем провинциям, включающий имена, должности и прямые номера мобильных телефонов. Документ написан на дари и пушту. Пока жертва читает знакомый служебный бюллетень, вредоносная программа уже завершает установку в фоновом режиме.
Для закрепления в системе злоумышленники создают запись в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Она маскируется под имя Edgre - опечатка от Edge, браузера Microsoft. Эта запись запускает второй HTA-файл, хранящийся в папке C:\Users\Public\USOShared-1de48789-1285\. Такой подход типичен для программ-закладок, которые стремятся не оставлять на диске исполняемых файлов.
Финальная стадия заражения - загрузка и выполнение в памяти инструмента XenoRAT версии 1.8.7. Это открытый троян удаленного доступа, доступный на GitHub. Он устанавливает зашифрованное TCP-соединение с командным сервером злоумышленников по IP-адресу 185.235.137.106. Канал связи использует AES-шифрование с фиксированным ключом и вектором инициализации, а также сжатие через системный API Windows. Такая комбинация затрудняет перехват и анализ трафика.
XenoRAT позволяет выполнять на зараженном компьютере широкий спектр команд: запись нажатий клавиш, захват экрана, съемку с веб-камеры и микрофона, управление файлами, запуск произвольных процессов. Для поддержания скрытности троян также умеет удалять себя из системы по команде, предварительно очищая все записи автозапуска.
Инфраструктура кампании построена с учетом маскировки. Домен доставки abimj.edu.af зарегистрирован в афганском национальном регистраторе AFGNIC и расположен на IP-адресах, принадлежащих Министерству связи и информационных технологий Афганистана. В этом же диапазоне хостятся сотни легитимных государственных сайтов, что позволяет трафику атаки смешиваться с обычной активностью госорганов.
Сам командный сервер XenoRAT размещен на хостинге HZ Hosting Ltd, зарегистрированном в Болгарии с физическим присутствием во Франкфурте. Отчёт Seqrite Labs указывает, что этот же провайдер ранее фигурировал в расследованиях, связанных с группировкой SideCopy.
Аналитики связывают данную атаку с пакистанской группой SideCopy, входящей в более крупное объединение Transparent Tribe (APT36). Основаниями служат несколько характерных признаков: применение LNK-файлов для вызова mshta.exe, использование XenoRAT в качестве финальной нагрузки, создание записи в реестре с намеренной опечаткой в имени процесса, а также размещение сервера доставки на инфраструктуре афганского государства. Ранее SideCopy уже применяла схожие методы при атаках на правительственные учреждения Индии и Афганистана.
Последствия атаки могут быть серьезными. Злоумышленники получили доступ к внутренним сетям Министерства финансов, что позволяет им похищать конфиденциальные документы, переписку, данные о бюджетных потоках и персональные сведения сотрудников. Учитывая, что XenoRAT поддерживает SOCKS5-прокси, атакующие могут использовать зараженные машины для дальнейшего проникновения в другие системы ведомства. Долгое время оставаясь незамеченным, троян способен накапливать информацию о финансовых операциях и внутренних решениях правительства.
Для защиты от подобных угроз организациям следует внедрять фильтрацию вложений в письмах, блокировать запуск mshta.exe из нестандартных сценариев и ограничивать использование протокола RDP, особенно на серверах, доступных из интернета. Регулярный аудит автозагрузки и мониторинг подозрительных подключений к незнакомым IP-адресам также помогут выявить закрепление трояна на ранней стадии.
Индикаторы компрометации
SHA256
- 0019212f25eb04bbb33bb194879c095265db7855d6003bdd777cf0cbb90eb772
- 194b912c242604d6f9a79369f22338c58a13ce0cc2ed280ce505075808bc2f14
- 3b4194bdfe40d94031a94b30397ffd8a4b09d0a4057668e897b8bdcd1703dd01
- 5833917bd137804f5a021d2cb37adfe5c4b7b67dbb06d59c3b9c5cf393835e45
- 8f2d979ef33b2900351c94c7335275a9342c75189e1a901998e90a539e944a1a
- 99127c8c67d90e2776beeb85281f9c68399bf4567b07a6b638d68b760212e88d
- 9ae3d785486022af82ea92e51b26e3f55c1bba88a7be2ad9790f4240e8499d14
- a63e90ee57a1f213a8fe76ef1a6cff5ae9ed7ebceda258431533825e648c0c67
- df9173a28c0b0b878c10a53d35cd7ce6f6ed66d207b6b7c4ff723721f1c027ab