В ходе расследования недавней кампании кибергруппы TAG-140, направленной против индийских государственных организаций, эксперты Insikt Group обнаружили модифицированную версию трояна DRAT (Remote Access Trojan), получившую обозначение DRAT V2. Группа TAG-140, тесно связанная с SideCopy - подгруппой, ассоциируемой с Transparent Tribe (также известной как APT36, ProjectM или MYTHIC LEOPARD), продолжает демонстрировать развитие своего арсенала вредоносного ПО и методов доставки.
Описание
Новая кампания, в рамках которой злоумышленники использовали поддельный портал пресс-релизов Министерства обороны Индии, свидетельствует о незначительных, но важных изменениях в архитектуре вредоносного ПО и функциональности командных серверов (C2). Появление DRAT V2 отражает стремление TAG-140 к совершенствованию инструментов удаленного доступа: если предыдущая версия трояна была написана на .NET, то новая скомпилирована в Delphi.
DRAT V2 обновляет собственный TCP-протокол для взаимодействия с C2-серверами, добавляя возможность выполнения произвольных команд через оболочку Windows и расширяя функции взаимодействия с файловой системой. Анализ цепочки заражения показал, что начальный доступ к системам жертв был получен с помощью социальной инженерии по схеме ClickFix. Пользователей убеждали запустить вредоносный скрипт через mshta.exe, что в итоге приводило к загрузке и исполнению BroaderAspect - .NET-загрузчика, ранее использовавшегося TAG-140.
Insikt Group с умеренной уверенностью приписывает эту активность группе TAG-140 на основании совпадений доменов, особенностей инфраструктуры и эволюции вредоносного ПО. Улучшения в DRAT V2 указывают на рост возможностей группы в области постэксплуатации и перемещения внутри сетей жертв. Это делает троян важным индикатором развития тактик TAG-140 и их стратегического интереса к оборонным и правительственным учреждениям Индии.
Ключевые изменения в DRAT V2
Новая версия трояна добавила команду exec_this_comm для выполнения произвольных shell-команд, что повышает гибкость постэксплуатации. C2-адреса теперь обфусцированы с помощью Base64-кодирования с добавлением префиксов, затрудняющих автоматическое декодирование. В отличие от предыдущей версии, DRAT V2 сократил использование обфускации строк, оставив большинство командных заголовков в открытом виде, вероятно, для повышения надежности парсинга.
Тактика и цели TAG-140
Группа TAG-140, действующая с 2019 года, традиционно нацелена на индийские организации, включая правительственные, оборонные, академические и морские структуры. В последнее время их активность распространилась на железнодорожный сектор, нефтегазовую отрасль и министерства иностранных дел.
В текущей кампании злоумышленники создали фальшивый веб-сайт, имитирующий официальный портал пресс-релизов Министерства обороны Индии (домен email[.]gov[.]in[.]drdosurvey[.]info). На сайте был размещен только один активный мартовский релиз за 2025 год, при клике на который запускалась атака ClickFix. Пользователей перенаправляли на страницу с предупреждением «Disclosure - For Official Use Only (FOUO)», после чего предлагалось вставить и выполнить команду в командной строке.
Технические особенности DRAT V2
Троян написан на Delphi и представляет собой эволюцию .NET-версии, использовавшейся ранее. Он поддерживает девять команд, включая сбор системной информации, управление файлами и выполнение произвольных команд. Взаимодействие с C2 осуществляется через текстовый TCP-протокол с использованием символов ~ и | в качестве разделителей.
Одним из ключевых отличий DRAT V2 от оригинала является обработка текста: новая версия принимает команды как в Unicode, так и в ASCII, но отвечает только в ASCII. Кроме того, изменился способ получения информации о версии Windows: если DRAT просто считывал данные из реестра, то DRAT V2 использует API-вызов GetVersionExW() и возвращает закодированную строку.
Рекомендации по защите
Для противодействия угрозам, связанным с DRAT V2, рекомендуется:
- Блокировать исходящие TCP-подключения на нестандартные порты (3232, 6372, 7771).
- Мониторить сетевой трафик на предмет Base64, ASCII и Unicode-команд.
- Использовать сигнатуры YARA и Sigma для обнаружения загрузчиков BroaderAspect и DRAT V2.
- Контролировать изменения в реестре, особенно в ключе HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Перспективы
Использование DRAT V2 соответствует стратегии TAG-140 по ротации различных троянов для усложнения обнаружения. Несмотря на улучшения, новая версия по-прежнему уязвима для статического и поведенческого анализа, что облегчает ее выявление. Эксперты прогнозируют дальнейшее развитие инструментов группы, включая эксперименты с новыми методами заражения и обхода защиты.
Таким образом, появление DRAT V2 подтверждает растущую техническую оснащенность TAG-140 и ее фокус на целевых атаках против критически важных структур Индии. Организациям следует усилить мониторинг фишинговых атак и необычной активности в сетях, чтобы минимизировать риски заражения.
Индикаторы компрометации
IPv4 Port Combinations
- 154.38.175.83:3232
- 178.18.248.36:6372
- 185.117.90.212:7771
- 38.242.149.89:61101
Domains
- email.gov.in.drdosurvey.info
SHA256
- 0d68012308ea41c6327eeb73eea33f4fb657c4ee051e0d40a3ef9fc8992ed316
- 830cd96aba6c328b1421bf64caa2b64f9e24d72c7118ff99d7ccac296e1bf13d
- c328cec5d6062f200998b7680fab4ac311eafaf805ca43c487cda43498479e60
- c73d278f7c30f8394aeb2ecbf8f646f10dcff1c617e1583c127e70c871e6f8b7
- ce98542131598b7af5d8aa546efe8c33a9762fb70bff4574227ecaed7fff8802