Кибершпионы Transparent Tribe атакуют индийские госструктуры с помощью усовершенствованных RAT

Многоэтапные атаки с использованием Ares и Desk RAT

Одна из наблюдаемых кампаний распространяет вредоносную надстройку для PowerPoint (PPAM-файл) под названием "Project Vijayak BRO Updates and Infrastructure.ppam". Название отсылает к индийской Организации пограничных дорог (Border Roads Organisation, BRO), что придает файлу видимость легитимности для целевых пользователей. При открытии файла автоматически исполняется встроенный VBA-макрос, который связывается с поддельным тематическим доменом для загрузки запароленного ZIP-архива. Внутри архива находится исполняемый полезная нагрузка (payload), скомпилированный на языке Go, - так называемый Desk RAT.

Параллельно в других атаках группа использует известный Ares RAT. Этот троянец обладает широким набором команд для управления скомпрометированной системой. Например, он может менять директории, загружать и скачивать файлы, делать скриншоты, обеспечивать устойчивость (persistence) после перезагрузки, а также сжимать и выводить данные. Вывод украденной информации осуществляется через HTTP POST-запросы к контролируемому злоумышленниками C2-серверу. Сам троянец работает в бесконечном цикле, периодически опрашивая сервер на наличие новых команд.

Усовершенствованная связь и скрытность через WebSocket

Новый Go-троянец Desk RAT демонстрирует более изощренные методы. После проникновения он проводит детальную разведку системы. Вредоносная программа собирает метрики производительности, такие как загрузка ЦП и потребление памяти, а также определяет публичный IP-адрес жертвы. Для этого используются как запросы к публичным сервисам вроде ipify.org, так и резервный UDP-метод. Затем программа обогащает эти данные геолокационной информацией, обращаясь к соответствующим API.

Ключевым отличием является использование для C2-связи протокола WebSocket вместо классического HTTP. Это позволяет устанавливать постоянное двустороннее соединение, которое сложнее обнаружить и отделить от легитимного трафика. После успешного рукопожатия по стандарту RFC 6455 сервер и клиент обмениваются "сердцебиениями" (heartbeat messages) для поддержания сессии. Через этот же канал жертва отправляет на сервер детальную информацию о системе (hostname, ОС, метрики в реальном времени), а сервер - команды. Функционал включает в себя выполнение произвольных команд, обзор файловой системы и выполнение дополнительных полезных нагрузок.

Установка устойчивости и выводы

Для обеспечения долговременного доступа Desk RAT копирует себя в системную директорию "C:\ProgramData\KeePass" и создает запись в автозагрузке реестра Windows. Это классический механизм обеспечения устойчивости.

Эти кампании демонстрируют, что Transparent Tribe остается хорошо оснащенной группой, нацеленной на шпионаж. Их методы включают тематические приманки, имитацию официальных документов и использование инфраструктуры, вызывающей доверие в целевом регионе. Цели выходят за рамки чисто оборонного сектора, затрагивая политические, исследовательские организации и критическую инфраструктуру. Развертывание нескольких RAT, включая Ares и Desk RAT, подчеркивает эволюцию инструментария в сторону большей скрытности и контроля. Хотя вредоносные программы используют шифрование и выполнение в памяти для уклонения от обнаружения, их последовательное поведение и сетевые шаблоны предоставляют специалистам по защите практические данные для обнаружения и нейтрализации этих целенаправленных атак.

IPv4

• 2.56.10.86
• 65.109.190.120

Domains

• serverchuchuchachawin.bond

URLs

• https://defenceindia.site/teamindia/

SHA256

• 0df9cb5b73822a8a44d0122fad943f376a5e5d7bbb927bc86743dff0379fa3fc
• 3c0f206a3d94621f81bdf23c3cfefb26e26175d9c9bdf4ccb169c9a76161466f
• 5ee6a5ff2e3c39cd88e9ccdc6a50b7ad3f9c7488bfc49a6c511379aceb91725c
• d33ad6ed76cdd0b036af466d69a6ff5088f29524462d034f41241136549d035a

• transparent-tribe-apt36-cc-network-tradecraft-report.pdf