Загадочный Слон: новая угроза дипломатическим структурам Азиатско-Тихоокеанского региона

История возникновения Mysterious Elephant изначально озадачила аналитиков сходством с методами группы Confucius. Однако последующий анализ показал, что вредоносное программное обеспечение загадочной группировки содержит фрагменты кода, ранее использовавшиеся APT-группами Origami Elephant, Confucius и SideWinder. Это указывает на глубокое взаимодействие и обмен ресурсами между киберпреступными сообществами. Примечательно, что инструменты, заимствованные у других групп, были заброшены их оригинальными разработчиками, но Mysterious Elephant не просто адаптировала их, а продолжила развивать и совершенствовать, создавая новые усложнённые версии. Ранние цепочки атак группировки отличались использованием удалённых внедрений шаблонов и эксплуатацией уязвимости CVE-2017-11882 с последующей загрузкой через загрузчик Vtyrei, ранее связанный с Origami Elephant.

Новая кампания знаменует стратегический сдвиг в тактике группировки. Для первоначального проникновения теперь используются целевые фишинговые письма, тщательно адаптированные под каждого получателя. Основной фокус атак сосредоточен на странах Южной Азии, особенно Пакистане. Тематика писем отражает интерес к дипломатическим институтам - например, в качестве приманки используется документ о заявке Пакистана на непостоянное место в Совете Безопасности ООН на 2025-2026 годы.

Арсенал группировки претерпел значительные изменения. Вместо известных вредоносных программ Mysterious Elephant теперь использует комбинацию самодельных и модифицированных инструментов с открытым исходным кодом. PowerShell-скрипты применяются для выполнения команд, развёртывания дополнительных нагрузок и обеспечения устойчивости. Скрипты загружаются с управляющих серверов и используют легальные системные утилиты, такие как curl и certutil, для загрузки и выполнения вредоносных файлов. Например, один из скриптов предназначен для загрузки полезной нагрузки с сохранением как ping.exe, с последующим созданием запланированной задачи, которая автоматически активируется при изменениях сетевого профиля с четырёхчасовой задержкой для усложнения обнаружения.

Среди новых инструментов выделяется BabShell - обратная оболочка на C++, позволяющая атакующим подключаться к скомпрометированной системе. После сбора системной информации программа входит в бесконечный цикл: принимает команды с управляющего сервера, выполняет их в отдельных потоках, сохраняет результаты в файлы с временными метками и передаёт данные обратно злоумышленникам. BabShell способен загружать дополнительные модули, такие как MemLoader HidenDesk - рефлективный загрузчик, исполняющий вредоносные нагрузки непосредственно в памяти. Этот модуль использует техники противодействия анализу: проверяет количество активных процессов, создаёт ярлык в папке автозагрузки и работает на скрытом рабочем столе. Расшифровав данные с помощью RC4-подобного алгоритма, модуль исполняет шелл-код, загружающий образец коммерческого RAT Remcos.

Другой загрузчик, MemLoader Edge, внедряет бэкдор VRat, используя шифрование и методы уклонения. Он проверяет сетевое подключение, пытаясь соединиться с bing.com на порту 445. При успешном соединении, что может указывать на песочницу, программа отображает изображение с нерабочими кнопками и входит в бесконечный цикл. При неудаче модуль ищет правильные XOR-ключи в массиве для двукратного расшифрования внедрённого PE-файла, который затем загружается в память рефлективным способом.

Особую озабоченность вызывают инструменты эксфильтрации, нацеленные на перехват коммуникаций через WhatsApp. Uplo Exfiltrator использует рекурсивный обход директорий и простое XOR-расшифрование для поиска и загрузки на серверы файлов определённых расширений, включая документы, таблицы, презентации и архивы. Stom Exfiltrator специально разработан для кражи файлов, передаваемых через WhatsApp, используя жёстко заданный путь к папке transfers. ChromeStealer Exfiltrator нацелен на данные браузера Google Chrome, включая куки и токены, причём ответы сервера указывают на интерес к информации, связанной с WhatsApp.

Инфраструктура группировки включает сеть доменов и IP-адресов, размещённых на виртуальных частных серверах (VPS) и облачных услугах. Использование записей wildcard DNS для генерации уникальных доменных имён затрудняет отслеживание активности. Анализ статистики показывает предпочтение определённых провайдеров VPS.

Жертвами Mysterious Elephant становятся в основном государственные учреждения и структуры иностранных дел в Пакистане, Бангладеш, Афганистане, Непале и Шри-Ланке. Высокая степень кастомизации атак под конкретных individuals подчёркивает целенаправленный и изощрённый характер угрозы.

Противодействие Mysterious Elephant требует комплексных мер: регулярного обновления программного обеспечения, мониторинга сетевой активности и обучения сотрудников. Международное сотрудничество и обмен информацией между специалистами по кибербезопасности, правительствами и отраслями играют ключевую роль в отслеживании и нарушении деятельности группировки. Только проактивный и совместный подход позволит снизить риски успешных атак и защитить конфиденциальную информацию от утечки.

IPv4

• 158.255.215.45
• 62.106.66.80
• 91.132.95.148

Domains

• file-share.officeweb.live
• fileshare-avp.ddns.net
• pdfplugins.com
• solutions.fuzzy-network.tech

URLs

• http://cloud.givensolutions.online:4443
• http://cloud.qunetcentre.org:443
• http://listofexoticplaces.com
• http://mediumblog.online:4443
• https://monsoonconference.com
• https://storycentral.net

MD5

• 3caaf05b2e173663f359f27802f10139
• 4c32e12e73be9979ede3f8fce4f41a3a
• 658eed7fcb6794634bbdd7f272fcf9c6
• 78b59ea529a7bddb3d63fcbe0fe7af94
• 7ee45b465dcc1ac281378c973ae4c6a0
• 85c7f209a8fa47285f08b09b3868c2a1
• 8650fff81d597e1a3406baf3bb87297f
• 9e50adb6107067ff0bab73307f5499b6
• b63316223e952a3a51389a623eb283b6
• bc0fc851268afdf0f63c97473825ff75
• c12ea05baf94ef6f0ea73470d70db3b2
• cf1d14e59c38695d87d85af76db9a861
• e525da087466ef77385a06d969f06c81
• f947ff7fb94fa35a532f8a7d99181cf1
• ff1417e8e208cadd55bf066f28821d94