APT-C-09: мастер маскировки и обмана

Согласно отчету 360 Advanced Threat Research Institute, группировка APT-C-09 проводит непрекращающиеся атаки на Пакистан с использованием нового вредоносного ПО.

Для проведения атак группа использует файлы-приманки, замаскированные в ссылках на документы. Один из таких файлов имеет название «Quran.pdf.lnk» и при открытии запускает PowerShell-скрипты. Команды загружают поддельные документы и вредоносные компоненты с удалённых серверов, а также создают задачи для обеспечения долговременного присутствия на заражённой системе.

Основной вредоносный компонент – файл «Winver.exe», который написан на Golang. Файл имеет цифровой сертификат, что затрудняет его обнаружение и блокировку антивирусными программами. При запуске Winver.exe собирает информацию о системе, пользователе и других параметрах, а затем передает данные на C2-сервер по зашифрованным каналам связи.

Кроме того, были выявлены атаки с использованием Quasar RAT — ещё одного вредоносного инструмента, который ранее неоднократно применялся APT-C-09. Троян позволяет выполнять широкий спектр удалённых команд, включая создание скриншотов, управление файлами и процессами на заражённой системе.

Новые угрозы и продолжающееся совершенствование методов

Данный анализ показывает, что APT-C-09 активно развивает и совершенствует свои методы. Группа не ограничивается старыми инструментами, а постоянно внедряет новые технологии для обхода систем защиты и достижения своих целей.

Одним из характерных признаков атак APT-C-09 является использование сертификатов Let's Encrypt для шифрования связи с сервером управления, а также применение алгоритмов шифрования RC4 и Base64, которые также использовались в предыдущих атаках группы.

В связи с продолжающимися атаками, важно усилить меры безопасности и соблюдать осторожность при работе с неизвестными файлами и ссылками. Пользователям рекомендуется избегать открытия подозрительных вложений и ссылок, а также регулярно обновлять антивирусное программное обеспечение и системы безопасности.