Атака на Минфин Афганистана: пакистанская группа SideCopy применила XenoRAT через фишинг на пушту

APT

Исследователи лаборатории Seqrite Labs зафиксировали новую кампанию целевого фишинга, направленную против Министерства финансов Исламского Эмирата Афганистан. Атака, получившая кодовое название Operation XENOFISCAL, затронула провинциальные налоговые и финансовые управления во всех 34 провинциях страны. Главная цель злоумышленников - получить удаленный доступ к системам афганских чиновников и вести скрытое наблюдение.

Описание

Событие примечательно тем, что демонстрирует высокий уровень осведомленности атакующих о внутренней структуре госорганов. Они использовали не просто фишинговое письмо, а вложение на языке пушту - доминирующем в административных учреждениях Афганистана. Файл назывался "Список сотрудников, отобранных для участия в семинаре по интеллектуальной и психологической войне". Такая тема указывает на знание операционной обстановки и реальных мероприятий в ведомстве.

Техническая цепочка атаки начинается с ZIP-архива, внутри которого находится вредоносный ярлык (LNK-файл). Он маскируется под документ PDF, но на самом деле запускает системную утилиту mshta.exe из папки C:\Windows\System32. Mshta.exe - это легитимный компонент Windows, предназначенный для выполнения HTML-приложений. Злоумышленники используют его для загрузки удаленного скрипта с сервера, работающего на скомпрометированном домене афганского образовательного учреждения abimj.edu.af.

При обращении к этому серверу по протоколу HTTPS загружается HTA-файл (HTML-приложение), содержащий сильно запутанный код на JavaScript. Внутри скрипта применяются приемы, затрудняющие анализ: строки представлены в шестнадцатеричном виде, а логика работы разбита на множество этапов. Во время выполнения скрипт имитирует системное сообщение об ошибке, чтобы отвлечь жертву, пока вредоносная нагрузка обрабатывается в памяти.

Следующий этап - работа с .NET-загрузчиком. Он скачивает из той же инфраструктуры легитимный документ-приманку. Это справочник сотрудников Министерства финансов по всем провинциям, включающий имена, должности и прямые номера мобильных телефонов. Документ написан на дари и пушту. Пока жертва читает знакомый служебный бюллетень, вредоносная программа уже завершает установку в фоновом режиме.

Для закрепления в системе злоумышленники создают запись в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Она маскируется под имя Edgre - опечатка от Edge, браузера Microsoft. Эта запись запускает второй HTA-файл, хранящийся в папке C:\Users\Public\USOShared-1de48789-1285\. Такой подход типичен для программ-закладок, которые стремятся не оставлять на диске исполняемых файлов.

Финальная стадия заражения - загрузка и выполнение в памяти инструмента XenoRAT версии 1.8.7. Это открытый троян удаленного доступа, доступный на GitHub. Он устанавливает зашифрованное TCP-соединение с командным сервером злоумышленников по IP-адресу 185.235.137.106. Канал связи использует AES-шифрование с фиксированным ключом и вектором инициализации, а также сжатие через системный API Windows. Такая комбинация затрудняет перехват и анализ трафика.

XenoRAT позволяет выполнять на зараженном компьютере широкий спектр команд: запись нажатий клавиш, захват экрана, съемку с веб-камеры и микрофона, управление файлами, запуск произвольных процессов. Для поддержания скрытности троян также умеет удалять себя из системы по команде, предварительно очищая все записи автозапуска.

Инфраструктура кампании построена с учетом маскировки. Домен доставки abimj.edu.af зарегистрирован в афганском национальном регистраторе AFGNIC и расположен на IP-адресах, принадлежащих Министерству связи и информационных технологий Афганистана. В этом же диапазоне хостятся сотни легитимных государственных сайтов, что позволяет трафику атаки смешиваться с обычной активностью госорганов.

Сам командный сервер XenoRAT размещен на хостинге HZ Hosting Ltd, зарегистрированном в Болгарии с физическим присутствием во Франкфурте. Отчёт Seqrite Labs указывает, что этот же провайдер ранее фигурировал в расследованиях, связанных с группировкой SideCopy.

Аналитики связывают данную атаку с пакистанской группой SideCopy, входящей в более крупное объединение Transparent Tribe (APT36). Основаниями служат несколько характерных признаков: применение LNK-файлов для вызова mshta.exe, использование XenoRAT в качестве финальной нагрузки, создание записи в реестре с намеренной опечаткой в имени процесса, а также размещение сервера доставки на инфраструктуре афганского государства. Ранее SideCopy уже применяла схожие методы при атаках на правительственные учреждения Индии и Афганистана.

Последствия атаки могут быть серьезными. Злоумышленники получили доступ к внутренним сетям Министерства финансов, что позволяет им похищать конфиденциальные документы, переписку, данные о бюджетных потоках и персональные сведения сотрудников. Учитывая, что XenoRAT поддерживает SOCKS5-прокси, атакующие могут использовать зараженные машины для дальнейшего проникновения в другие системы ведомства. Долгое время оставаясь незамеченным, троян способен накапливать информацию о финансовых операциях и внутренних решениях правительства.

Для защиты от подобных угроз организациям следует внедрять фильтрацию вложений в письмах, блокировать запуск mshta.exe из нестандартных сценариев и ограничивать использование протокола RDP, особенно на серверах, доступных из интернета. Регулярный аудит автозагрузки и мониторинг подозрительных подключений к незнакомым IP-адресам также помогут выявить закрепление трояна на ранней стадии.

Индикаторы компрометации

SHA256

  • 0019212f25eb04bbb33bb194879c095265db7855d6003bdd777cf0cbb90eb772
  • 194b912c242604d6f9a79369f22338c58a13ce0cc2ed280ce505075808bc2f14
  • 3b4194bdfe40d94031a94b30397ffd8a4b09d0a4057668e897b8bdcd1703dd01
  • 5833917bd137804f5a021d2cb37adfe5c4b7b67dbb06d59c3b9c5cf393835e45
  • 8f2d979ef33b2900351c94c7335275a9342c75189e1a901998e90a539e944a1a
  • 99127c8c67d90e2776beeb85281f9c68399bf4567b07a6b638d68b760212e88d
  • 9ae3d785486022af82ea92e51b26e3f55c1bba88a7be2ad9790f4240e8499d14
  • a63e90ee57a1f213a8fe76ef1a6cff5ae9ed7ebceda258431533825e648c0c67
  • df9173a28c0b0b878c10a53d35cd7ce6f6ed66d207b6b7c4ff723721f1c027ab

Комментарии: 0