Главная страница » Индикаторы компрометации
0
2 дня
Индикаторы компрометации

Индийская хакерская группа Dropping Elephant атакует оборонный сектор Пакистана с помощью нового стелс-бэкдора

APT

Группа кибершпионажа Patchwork, также известная как Dropping Elephant или APT-C-09, развернула новую многоступенчатую кампанию против пакистанских оборонных организаций. Об этом сообщают исследователи кибербезопасности, обнаружившие сложную цепочку заражения с использованием самодельного бэкдора на Python.

Описание

Кампания началась с целевых фишинговых писем, направленных на сотрудников оборонного сектора Пакистана. Злоумышленники использовали социальную инженерию, предлагая получателям открыть архив ZIP с якобы важными документами. Внутри архива находился вредоносный проект MSBuild и файл-приманка в формате PDF, имитирующий реальный документ.

Особенностью атаки стало использование легитимного инструмента MSBuild.exe, что позволило злоумышленникам обойти многие системы защиты. Этот метод, известный как living-off-the-land binary (LOLBIN), значительно затрудняет обнаружение вредоносной активности. После выполнения скрипта MSBuild запускается сложный многоэтапный процесс развертывания бэкдора.

Первая стадия включает динамическое разрешение API-вызовов и декодирование полезной нагрузки с помощью обратного UTF-шифрования. Затем загружаются компоненты pythonw.exe и python310.dll в системную директорию C:\Windows\Tasks\. Для маскировки своей деятельности вредоносная программа открывает документ-приманку и удаляет исходный ZIP-архив.

Важной особенностью является создание нескольких запланированных задач через SCHTASKS с названиями, имитирующими легитимные системные процессы: KeyboardDrivers, MsEdgeDrivers и MicrosoftEdgeUpdate2Network. Это обеспечивает постоянное присутствие в системе.

На следующем этапе развертывается встраиваемая среда выполнения Python в пользовательской директории AppData. Среди легитимных файлов Python скрывается поддельная DLL с именем python2_pycache_.dll, содержащая сериализованный байт-код Python. Финальная стадия атаки выполняется через запуск pythonw.exe с передачей поддельной DLL в качестве параметра.

Новый бэкдор использует технику marshalling для сериализации Python-объектов, что делает анализ значительно сложнее. Исследователи отмечают высокий уровень профессионализма в obfuscation и stealth-техниках, характерный для APT-групп.

Группа Patchwork известна своей ориентацией на целевые атаки против правительственных и военных организаций Пакистана. Активность демонстрирует постоянное развитие тактик, техник и процедур (TTP) группы в рамках MITRE ATT&CK. Эксперты оценивают атрибуцию с высокой степенью достоверности, связывая кампанию с индийскими государственными интересами.

Индикаторы компрометации

Domains

  • nexnxky.info
  • soptr.info
  • upxvion.info
Комментарии: 0
Похожие записи
0
23.07.2025
Индикаторы компрометации

APT-группа Dropping Elephant атакует турецкий оборонный сектор с новыми возможностями: LOLBAS, VLC Player и шифрованный шеллкод

APT
Группа киберразведки Arctic Wolf Labs обнаружила новую кампанию кибершпионажа, проводимую APT-группой Dropping Elephant (также известной как Patchwork или Quilted Tiger).
0
10.09.2025
Уязвимости

Zoom выпустил критическое обновление безопасности для Windows-клиента и Workplace

vulnerability
Компания Zoom выпустила срочное обновление безопасности для своего клиента на Windows и платформы Workplace, устраняющее несколько уязвимостей. Среди них - критическая уязвимость, которая могла позволить
0
20.11.2025
Индикаторы компрометации

Кибермошенники используют поддельный магазин Google Play для распространения шпионского ПО и майнера на Android-устройствах

information security
Специалисты лаборатории D3Lab обнаружили новую сложную атаку на пользователей Android, в ходе которой злоумышленники создали фиктивный магазин приложений, имитирующий официальный Google Play.