CurlBack RAT: «Ало, это Пакистан? Нам нужны новые куки»

Хакерская группировка, связанная с Пакистаном, расширила спектр своих атак против индийских организаций, начав использовать ранее неизвестное вредоносное ПО CurlBack RAT и кроссплатформенный Spark RAT. Об этом сообщили специалисты SEQRITE, зафиксировавшие активность в декабре 2024 года.

В зоне риска оказались учреждения, относящиеся к железнодорожному сектору, нефтегазовой отрасли и МИД Индии, что свидетельствует о заметном расширении целей — ранее атаки ограничивались оборонными структурами, университетами и морскими учреждениями.

На фоне активности особенно выделяется переход злоумышленников от привычных HTA-файлов к установочным пакетам MSI в качестве основного механизма доставки вредоносного кода. Это изменение может указывать на стремление обойти улучшенные средства защиты, установленные в системах Windows, и свидетельствует о росте технической зрелости группы.

Подозревается, что атаки связаны с кластером SideCopy — подразделением более широкой группировки Transparent Tribe (APT36) . SideCopy получил своё название из-за копирования тактик другой известной группы — SideWinder , включая методы доставки вредоносного кода через HTA-файлы и RTF-документы, размещённые на заранее подготовленных URL.

В июне 2024 года SEQRITE уже фиксировала активность SideCopy с использованием запутанных HTA-файлов, заимствованных у SideWinder. В новых атаках наблюдается не только разнообразие методов, но и арсенала вредоносных программ. Помимо Action RAT и ReverseRAT, группа использует утилиту Cheex для кражи документов и изображений, средство для копирования с USB-накопителей и модифицированную версию Geta RAT, которая поддерживает выполнение более 30 команд от удалённого сервера.

Geta RAT, в свою очередь, заимствует функции у известного AsyncRAT, включая возможность кражи данных всех профилей и куки из браузеров на базе Chromium и Firefox. Особенность архитектуры SideCopy — ориентированность на системы Windows, в отличие от APT36, чаще атакующей Linux-инфраструктуру.

Новые атаки базируются на фишинговых письмах с вложениями, замаскированными под документы с расписаниями выходных для железнодорожников или инструкциями по кибербезопасности от государственных компаний, например, HPCL. Один из кластеров внедряет Spark RAT, способный работать как на Windows, так и на Linux. Другой — распространяет CurlBack RAT, ориентированный на Windows-системы.

CurlBack RAT может собирать информацию о системе, скачивать файлы, запускать команды, повышать привилегии и перечислять пользователей. Параллельно с ним применяется Xeno RAT — модифицированный инструмент с минимальной обфускацией, использующий простые методы манипуляции строками.

В целом, атаки демонстрируют эволюцию группы: злоумышленники применяют продвинутые методы, включая DLL sideloading, reflective loading и дешифровку через PowerShell с использованием AES. Для повышения незаметности используются поддельные сайты и скомпрометированные домены, служащие как для фишинга учётных данных, так и для доставки полезной нагрузки.