Задание №10: Пакистанский APT36 маскируется под учебные материалы для кибератак на Индию

Задание №10: Пакистанский APT36 маскируется под учебные материалы для кибератак на Индию

Образовательный сектор становится мишенью кибератак с использованием Crimson RAT.

image

По данным компании SentinelOne , предположительно базирующаяся в Пакистане группировка Transparent Tribe (APT36, Operation C-Major, PROJECTM и Mythic Leopard) проводит кибератаки на сектор образования Индии с целью развертывания вредоносного ПО под названием Crimson RAT.

Вредоносная программа на основе .NET имеет следующие возможности:

  • Эксфильтрация файлов и системных данных на сервер злоумышленника (С2);
  • Создание снимков экрана;
  • Завершение запущенных процессов;
  • Загрузка и выполнение дополнительных полезных нагрузок для регистрации нажатий клавиш (кейлоггинг) и кражи учетных данных браузера.

В ходе кампании Transparent Tribe распространяет заражённые документы Microsoft Office, которые содержат образовательный контент и называются как «Задание» или «Задание №10». Документы используют вредоносный код макроса для запуска Crimson RAT. В других случаях группировка использовала технологии встраивания OLE (Object Linking and Embedding) для запуска вредоносного ПО.

Специалисты SentinelOne поясняют, что вредоносные документы, реализующие технику OLE, требуют от пользователя двойного щелчка по элементу документа, чтобы разблокировать контент.


Функция заставляет пользователей дважды щелкнуть по изображению для просмотра содержимого, тем самым активируя пакет OLE, который хранит и выполняет Crimson RAT, маскируясь под процесс обновления.

Также было замечено, что варианты Crimson RAT задерживают свое выполнение на определенный период времени – от 1 до 4 минут, а также реализуют различные методы обфускации с использованием инструментов Crypto Obfuscator и Eazfuscator.

Эта кампания, не единственная операция группы, нацеленная на Индию. Ранее Transparent Tribe была связана с продолжающейся кампанией кибершпионажа , нацеленной на индийских и пакистанских пользователей Android с помощью бэкдора под названием CapraRAT. По предварительным оценкам, жертвами стали около 150 человек. Вредоносное ПО можно было загрузить с поддельных фишинговых веб-сайтов, а само приложение по своему интерфейсу и названию определённо является своеобразной пародией на WhatsApp.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!