Исследователи кибербезопасности из компании CYFIRMA раскрыли новую схему атаки, которую применяет пакистанская хакерская группировка APT36. Злоумышленники создали фальшивый веб-сайт, имитирующий официальный ресурс IndiaPost - почтовой службы Индии, - чтобы распространять вредоносное ПО среди пользователей Windows и Android. Особенностью этой кампании стало использование ноутбуков, полученных через пакистанскую государственную программу "Молодежный ноутбук", что подтверждает причастность к атаке пакистанских хакеров.
Описание
Анализ вредоносных файлов показал, что исполняемый файл для Android был создан в пакистанском часовом поясе, а IP-адрес, использованный для регистрации домена, связан с другими известными APT-группами из Пакистана. Это указывает на скоординированную кампанию, направленную на сбор конфиденциальных данных индийских пользователей.
Как работает атака?
Поддельный сайт IndiaPost предлагает пользователям загрузить вредоносное Android-приложение или PDF-файл, в зависимости от типа устройства. Если жертва заходит с компьютера, ей предлагается скачать PDF-документ под названием "ClickFix", который содержит инструкции по выполнению команды PowerShell. Эта команда фактически загружает и запускает вредоносный код, позволяя злоумышленникам получить контроль над системой.
Для мобильных пользователей сайт автоматически перенаправляет на загрузку вредоносного APK-файла. Приложение маскируется под легитимный сервис, но запрашивает опасные разрешения, включая доступ к геолокации, электронной почте и файлам устройства. После установки оно меняет свою иконку на логотип Google, чтобы усложнить обнаружение. Кроме того, приложение рекламирует казино-приложение "VivaGame", побуждая пользователей вводить данные банковских карт, что может привести к финансовым потерям.
Технические особенности вредоносного ПО
Анализ кода Android-приложения показал, что оно активно скрывает свою деятельность: отключает оптимизацию батареи, чтобы работать в фоновом режиме, и использует механизмы автозапуска для восстановления после перезагрузки устройства. Это позволяет злоумышленникам долгое время оставаться незамеченными и собирать данные жертв.
Для пользователей Windows угроза заключается в том, что вредоносный PDF-файл побуждает их вставить команду в "Выполнить" (Run), что приводит к исполнению вредоносного скрипта. Этот метод часто используется для загрузки дополнительных вредоносных модулей или установки бэкдоров.
Политический контекст и последствия
Использование ноутбуков из программы "Молодежный ноутбук" для создания вредоносного ПО указывает на возможную государственную поддержку киберопераций против Индии. Эта программа была запущена правительством Пакистана для поддержки студентов, но теперь ее ресурсы могут быть задействованы в кибершпионаже.
Пока расследование продолжается, но уже очевидно, что атака направлена не только на кражу данных, но и на подрыв доверия к индийским государственным сервисам. Подобные кампании могут использоваться для дестабилизации ситуации в регионе, учитывая напряженные отношения между Индией и Пакистаном.
Рекомендации по защите
Пользователям следует избегать загрузки приложений и файлов с непроверенных сайтов, особенно если они имитируют государственные службы. Важно проверять доменные имена и SSL-сертификаты, а также использовать антивирусные решения с актуальными базами сигнатур. Для предприятий критически важно обучать сотрудников основам кибергигиены и внедрять системы мониторинга угроз, чтобы предотвратить подобные атаки.
Данный инцидент в очередной раз демонстрирует, как государственные программы могут быть злоупотреблены для проведения кибератак, а также подчеркивает необходимость усиления международного сотрудничества в борьбе с APT-группами.
Индикаторы компрометации
IPv4
- 88.222.245.211
Domains
- Email.gov.in.gov-in.mywire.org
- Postindia.site
SHA256
- 287a5f95458301c632d6aa02de26d7fd9b63c6661af331dff1e9b2264d150d23
- cbf74574278a22f1c38ca922f91548596630fc67bb234834d52557371b9abf5d