Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки, так и координированные действия хактивистов. Целями стали ключевые секторы индийской экономики: оборонная промышленность, государственные IT-системы, здравоохранение, телекоммуникации и образование.
Описание
Атака началась 17 апреля 2025 года с фишинговых писем, маскирующихся под официальные документы. Злоумышленники использовали файлы с расширениями .xlam, .ppam и .pptx.lnk, содержащие вредоносные макросы и скрипты. Тематика писем эксплуатировала недавние трагические события, такие как террористическая атака в Пахалгаме, чтобы усилить доверие жертв.
Особую опасность представляла группировка APT36, связанная с Пакистаном. Вместо устаревших инструментов вроде Poseidon она применила модульный фреймворк Ares, способный скрытно внедряться в системы, красть данные и выполнять удаленные команды. Для доставки вредоносного кода использовались поддельные домены, имитирующие индийские госструктуры, например nationaldefensecollege[.]com и zohidsindia[.]com.
Параллельно с APT36 действовали хактивистские группы, координирующие атаки через Telegram. Они организовывали DDoS-атаки, дефейсы сайтов и утечки данных под хештегами #OpIndia и #OperationSindoor. Наиболее пострадавшими оказались Министерство обороны, Национальный информационный центр (NIC), больницы AIIMS и телеком-операторы Jio и BSNL.
Operation Sindoor демонстрирует новый уровень гибридных угроз, где кибершпионаж сочетается с информационными атаками. Эксперты предупреждают: подобные кампании будут повторяться, а защита критической инфраструктуры требует не только технологических, но и политических решений.
Индикаторы компрометации
IPv4 Port Combinations
- 167.86.97.58:17854
URLs
- fogomyart.com/random.php
Domains
- nationaldefensecollege.com
- operationsindoor2025.in
- pahalgamattack.com
- sindoor.live