Исследователи из команды Knownsec 404 Advanced Threat Intelligence опубликовали отчет, в котором подробно описана атакующая кампания, приписываемая APT-K-47, также известной как Mysterious Elephant, использующая приманки на тему хаджа для распространения Asyncshell.
Mysterious Elephant APT
Злоумышленники распространяли вредоносный CHM-файл для выполнения обновленной полезной нагрузки Asyncshell-v4, которая создает командную оболочку с использованием асинхронного программирования. Эта полезная нагрузка использует алгоритм варианта base64 для сокрытия адреса своего сервера, маскируя взаимодействие под легитимные запросы веб-сервисов.
APT-K-47, предположительно происходящая из Южной Азии, действует по меньшей мере с 2022 года, атакуя такие страны, как Пакистан, Бангладеш и Турция. Их тактика претерпела значительные изменения: с момента своего первого появления в январе 2024 года Asyncshell неоднократно обновлялся. Ранние версии вредоносного ПО использовали такие уязвимости, как CVE-2023-38831, а в более поздних появились зашифрованные файлы, документы-обманки и динамическая инфраструктура командно-контрольной системы (C2).
В последних атаках группы используются CHM-файлы для бесшумного выполнения полезной нагрузки вместе с ложным контентом, связанным с хаджем, что повышает вероятность вовлечения жертвы. Asyncshell был доработан для поддержки изменяемых серверов C2 и зашифрованной передачи данных, что повышает его скрытность и гибкость. Результаты исследования Knownsec свидетельствуют о том, что группировка постоянно вкладывает средства в разработку и модернизацию инструментов атаки, чтобы поддерживать долгосрочные операции.
Indicators of Compromise
SHA256
- 5488dbae6130ffd0a0840a1cce2b5add22967697c23c924150966eaecebea3c4
- 5afa6d4f9d79ab32374f7ec41164a84d2c21a0f00f0b798f7fd40c3dab92d7a8
- c914343ac4fa6395f13a885f4cbf207c4f20ce39415b81fd7cfacd0bea0fe093