Группировка APT-C-08 атакует пользователей через поддельные сайты - кража почтовых учётных данных и закрепление в системе

APT

Специалисты 360 Security зафиксировали новую волну атак южноазиатской группировки APT-C-08. Эта группа, по оценкам экспертов, имеет государственную поддержку и уже несколько лет нацелена на правительственные структуры, оборонные предприятия, университеты и зарубежные представительства в странах Южной Азии. На этот раз злоумышленники применили фишинговые сайты, которые копируют интерфейс почтового сервиса 163[.]com. Их цель - получить доступ к корпоративной переписке и затем внедрить вредоносное программное обеспечение на компьютеры жертв.

Описание

Атака начинается с того, что пользователь попадает на поддельную страницу. Она внешне неотличима от настоящего почтового сервиса, но на самом деле передаёт введённые логин и пароль напрямую злоумышленникам. После того как жертва вводит данные, она попадает на второй раздел сайта - страницу загрузки. Оттуда браузер самостоятельно скачивает ZIP-архив, защищённый паролем. Внутри архива находится скрипт на языке VBS (Visual Basic Script - язык сценариев, встроенный в Windows, который позволяет выполнять различные действия на компьютере). Именно этот файл и является основным инструментом атакующих.

Сам скрипт, который носит имя Requirement_Letter.vbs, имеет размер около 80 килобайт. Он не только собирает учётные данные, но и выполняет целый ряд действий для закрепления в системе (так называемая персистентность). Вредоносный код проверяет, не запущен ли он уже на этом устройстве, чтобы избежать дублирования. Затем он создаёт рабочую папку в каталоге AppData, куда копирует самого себя под именем wupdate_helper.vbs. После этого скрипт прописывается в реестр Windows, чтобы запускаться при каждом старте системы, а также создаёт задачу в Планировщике заданий и добавляет ярлык в меню Пуск. Таким образом, даже если пользователь завершит процесс, программа снова активируется при следующей загрузке.

Подробный отчёт 360 Security раскрывает механизм работы вредоносной программы. Особый интерес представляют два дополнительных скрипта на PowerShell (язык сценариев и автоматизации управления системой), которые генерируются внутри основного VBS-файла после его запуска. Первый - vps_transfer.ps1 - отвечает за кражу данных. Он собирает информацию с компьютера жертвы и передаёт её на управляющий сервер злоумышленников. Второй - vps_c2.ps1 - работает как модуль удалённого управления. Он постоянно связывается с командным центром (C2, Command & Control - сервер, с которого злоумышленники отдают команды) и ждёт инструкций. Таким образом, атакующие могут не просто похитить данные, но и выполнить на заражённом компьютере любые команды - от установки дополнительного вредоносного кода до полного контроля над системой.

Для отвлечения внимания жертвы скрипт открывает легитимный документ - так называемый "приманочный" PDF или Word-файл. Пока пользователь изучает безобидный документ, вредоносная программа уже завершила установку. После этого она запускает процедуру самоудаления, чтобы стереть следы первоначального заражения.

Аналитики 360 Security уверенно связывают эту атаку с группировкой APT-C-08 (APT - Advanced Persistent Threat, продвинутая устойчивая угроза, термин для обозначения высокоорганизованных хакерских групп). Основанием служит несколько совпадений с кампаниями 2025 года. Во-первых, IP-адрес, на котором размещены фишинговые сайты, остался тем же - 162.244.93[.]6. Во-вторых, сервер использует ту же версию веб-платформы openresty/1.27.1[.]1, что и в прошлом году. В-третьих, HTML-код страниц и даже графические элементы - например, иконка самого 163.com - имеют одинаковые контрольные суммы (хеши) с прошлогодними образцами. Это говорит о том, что атакующие повторно используют часть инфраструктуры и кода, минимизируя затраты на подготовку атаки.

Последствия такой атаки крайне серьёзны. Если злоумышленники получают доступ к рабочей почте сотрудника - особенно в государственных или оборонных структурах - они могут перехватывать переписку, добывать служебные документы и даже внедряться в другие информационные системы через компрометированную учётную запись. Кража учётных данных вкупе с внедрением удалённого управления делает инцидент не просто фишингом, а полноценной целенаправленной атакой. Заражённый компьютер становится плацдармом для дальнейшего продвижения по сети.

В текущей кампании уже зафиксированы случаи использования поддельных сайтов, имитирующих 163.com. Специалисты отмечают, что такие атаки нацелены прежде всего на китайские и сопредельные с Южной Азией организации. Однако не исключено, что злоумышленники будут копировать интерфейсы других популярных почтовых сервисов - например, Gmail или Outlook - в зависимости от региона цели.

Для обычного пользователя главным признаком опасности служит необычное поведение сайта. Если после ввода логина и пароля браузер вдруг начинает загружать ZIP-файл, а сам архив защищён паролем, это классический сигнал мошенничества. Легитимные сервисы никогда не отправляют пользователям зашифрованные архивы с исполняемыми скриптами. Кроме того, стоит внимательно проверять адресную строку: поддельные сайты часто имеют незначительные отличия в написании домена - например, лишние символы или нестандартное расширение.

Тенденция, которую демонстрирует группировка APT-C-08, характерна для многих современных APT-групп: они не создают сложных эксплойтов, а полагаются на социальную инженерию и повторное использование проверенных методов. Это снижает их затраты и одновременно повышает эффективность. Обороняться от таких атак можно только на уровне персонала: обучение сотрудников распознавать фишинговые страницы, использование многофакторной аутентификации (даже если злоумышленник узнает пароль, без второго фактора он не сможет войти) и регулярная проверка систем на наличие подозрительных скриптов в автозагрузке и Планировщике заданий.

Индикаторы компрометации

IPv4 Port Combinations

  • 163.245.220.108:8442

Domains

  • downloadclouddata.com

MD5

  • 668807209bfc094bb0e53653b9cd84ac

Комментарии: 0