Кибершпионы из APT36 применяют многоступенчатые атаки под видом учебных документов

Как указано в исследовании аналитиков CYFIRMA, кампания начинается с рассылки фишинговых писем, содержащих ZIP-архив. Внутри архива находятся файл ярлыка с двойным расширением «Approved Documents 2026.pdf.lnk» и надстройка PowerPoint «Brief.ppam» с макросами. Ярлык, выглядящий как PDF-документ, при запуске исполняет скрытый пакетный файл, который, в свою очередь, разворачивает вредоносные компоненты. Между тем, надстройка PowerPoint, открытая жертвой, использует макросы для извлечения и сборки конечной полезной нагрузки. Этот многоступенчатый подход с резервными путями исполнения повышает вероятность успешного заражения даже в случае срабатывания части защитных механизмов.

Технический анализ показывает высокий уровень изощренности атаки. После запуска ярлыка выполняется скрытый пакетный скрипт, который копирует полезную нагрузку в каталог ProgramData, создает жесткую ссылку на неё в папке пользователя AppData с рандомизированным именем и запускает её. Параллельно пользователю отображается документ-приманка - защищенный паролем PDF, не несущий реальной информации, но создающий видимость легитимной активности. Макросы в файле PowerPoint выполняют схожие действия: создают рабочую директорию, извлекают из себя внедрённые объекты, собирают из них исполняемый файл и запускают его, одновременно открывая для отвлечения внимания безобидную презентацию.

Конечная полезная нагрузка, файл с именем вроде «hsuzoiaisaacrhy.exe», представляет собой полнофункциональный троян удаленного доступа (Remote Access Trojan, RAT). Он устанавливает прямое TCP-соединение с командным сервером злоумышленников, используя хардкодированный IP-адрес и резервный домен. Программа обладает широким спектром возможностей для шпионажа: захват скриншотов и потоковой трансляции экрана, удалённое выполнение команд и процессов, обход файловой системы, загрузка и выгрузка файлов. Для обеспечения долговременного присутствия троян прописывает себя в автозагрузку через реестр Windows. Кроме того, в арсенале присутствуют техники противодействия анализу, такие как обфускация кода, вставка мусорных инструкций и самоудаление вспомогательных исполняемых файлов для затруднения расследования.

Данная кампания соответствует известному профилю деятельности группы Transparent Tribe, которая годами специализируется на кибершпионаже, преимущественно против целей в Индии. Использование социальной инженерии с приманкой в виде учебных материалов, многослойная цепочка доставки и активное применение «живущих-off-the-земля» (Living-off-the-Land) техник, то есть легитимных системных утилит, указывает на стремление к максимальной скрытности и долгосрочному доступу к системам жертв. Угроза актуальна для организаций, чьи сотрудники регулярно обмениваются документами, особенно в государственном, образовательном и оборонном секторах.

Для противодействия подобным угрозам эксперты рекомендуют комплекс мер. На уровне пользовательской осведомленности критически важно обучение распознаванию фишинга, в частности, обращать внимание на двойные расширения файлов и недоверять неожиданным вложениям. На техническом уровне необходима настройка отображения полных расширений файлов в Windows, ограничение исполнения макросов из ненадёжных источников и применение политик контроля приложений, запрещающих запуск исполняемых файлов и скриптов из временных каталогов. Мониторинг сетевой активности на предмет подозрительных TCP-подключений и анализ событий на конечных точках, таких как последовательный запуск ярлыка, командной строки и PowerShell с подозрительными параметрами, могут помочь в раннем обнаружении подобных атак. Регулярное обновление систем и интеграция индикаторов компрометации из открытых источников в системы безопасности также являются ключевыми элементами защиты от постоянно развивающихся групп продвинутых постоянных угроз.

IPv4

• 93.127.130.89

SHA256

• 34412e765822cf3fb32a5a5c9866fb29a9b98d627b4d9a3275fd3e754cf8e360
• 7725f32d6b9906ca653f43e9950fc9f6c914b7f2cd29a29b712c9e94dac55031
• 7b4e1670930ec33a673d9b32454f67f28af73a89958fcaba4b24ac2c799b1af1
• 9d88e2b6dda140befb2dc0e91a13ca8356b079671e24a486be966ce447d87438