Индийская хакерская группа TA397: восьмилетняя шпионская кампания против Европы и Азии

A397 использует фишинговые письма с вредоносными вложениями, маскируясь под официальные структуры Китая, Пакистана, Мадагаскара и Маврикия. В последних кампаниях группа экспериментировала с новыми методами доставки вредоносного кода, включая уязвимость GrimResource (CVE-2024-43572) и нестандартные форматы файлов, такие как Microsoft Search Connector (MSC). Однако ключевой элемент их атак остается неизменным - создание запланированных задач (scheduled tasks) для регулярного взаимодействия с серверами управления.

Анализ инфраструктуры TA397 показал, что группа работает в стандартные рабочие часы по индийскому времени (IST), что подтверждает ее связь с Южной Азией. Кроме того, исследователи обнаружили документы, предположительно украденные у жертв, включая военные и налоговые файлы из Бангладеш.

Во второй части исследования, опубликованной на сайте Threatray, подробно разбирается арсенал вредоносных программ TA397, включая такие инструменты, как KugelBlitz, Demon (Havoc C2), wmRAT и MiyaRAT. Также отмечается возможная связь группы с другими индийскими хакерскими объединениями, такими как Mysterious Elephant (APT-K-47) и Confucius, через использование общего бэкдора ORPCBackdoor.

Эксперты подчеркивают, что TA397 остается активной и опасной угрозой, несмотря на отсутствие сложных техник атаки. Их методы могут быть предсказуемыми, но высокая частота кампаний и целевой характер атак делают группу серьезной проблемой для организаций, связанных с Китаем, Пакистаном и другими соседними с Индией странами.

Domains

• blucollinsoutien.com
• headntale.com
• inizdesignstudio.com
• jacknwoods.com
• mnemautoregsvc.com
• princecleanit.com
• trkswqsservice.com
• utizviewstation.com
• warsanservices.com
• woodstocktutors.com

URLs

• http://46.229.55.63/svch.php?li=%computername%..%username%
• http://95.169.180.122/vbgf.php?mo=%computername%--%username%

SHA256

• 1b67fc55fd050d011d6712ac17315112767cac8bbe059967b70147610933b6c1
• 1fbf95ccf1193e84d0e4f8c315816dd2aec56edb11ef1e7b28667360ca7e5ccd
• 55f75724386dbe740c0b868da913af2c8b280335da4fde64e2300c776b79d4e8
• 5a39f10d2e4c1cae1b52baff0cf8b3e397da2e69cb90e1bac138e8d437cbea41
• 680c99915d478ed8d9f1427b3deb2ebd255a6ec614ad643909ab4c01f52905ae
• 7c5dde52845ecae6c80c70af2200d34ef0e1bc6cbf3ead1197695b91acd22a67
• 80b3a71138c34474725bbb177d8dec078effb7d8f4b19bf2e7a881b01ec7d323
• b56385dc93cc8f317ce499539b0d52aa0b3d8b6a8f9493e1ee7ba01765edd020
• c9612051b3956ac8722d8be7994634b7c940be07ca26e2fc8d0d5c94db2e4682
• cc65fac9151fa527bc4b296f699475554ee2510572b8c16d5ef4b472a4cb9ffc
• cdddbd65dbb24d3b9205e417cc267007bfd0369c316f70d2749887b9f02e949b