Поделиться
Индийская APT-группа вплотную занялась европейскими дипломатами
Отмечена первая атака на министерство иностранных дел одной из стран Европы. За атакой стоит известная группировка предположительно индийского происхождения.
Оригами-слон и другие названия
APT-кластер, который подозревают в связях со спецслужбами Индии, атаковал министерство иностранных дел одной из стран Евросоюза с использованием ранее неизвестного вредоноса для сбора данных.
Кластер, известный под названиями DoNot Team, APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger, активен предположительно с 2016 г. Его отличительной чертой является использование самописных вредоносов под Windows, в том числе бэкдоров YTY и GEdit. В большинстве случаев, как отмечают эксперты компании Trellix, доставка производится через спиэр-фишинговые сообщения.
Связанные с правительствами организации - типичная мишень для этого кластера: среди известных к настоящему времени жертв - министерства иностранных дел и другие ведомства, а также представители оборонного сектора и некоторые негосударственные организации в Южной Азии и Европе.
Последовательность атаки начинается с того, что потенциальную жертву обманом заставляют перейти по ссылке на Google Drive и скачать архив в формате RAR. С этого начинается установка вредоноса LoptikMod, которым данный APT-кластер пользуется в эксклюзивном порядке с 2018 г.
Сопроводительный текст в письме исходит якобы от чиновников оборонного ведомства (притом, что адрес отправителя - Gmail), и упоминает предполагаемый визит итальянского военного атташе в столицу Бангладеш.
Электронное послание содержит HTML-форматирование с кодировкой UTF-8, чтобы корректно отображать специальные символы, например, é в слове Attaché. По мнению исследователей, это свидетельствует о скрупулезном отношении операторов атак к деталям, что, естественно, повышает их шансы.
Сам по себе архив RAR содержит вредоносный исполняемый файл, который имитирует PDF-документ. Но его открытие приводит к установке троянца удаленного доступа и созданию запланированных задач в соответствующей утилите Windows, обеспечивающих постоянство присутствия.
Вредонос подключается к удаленному серверу для отправки информации, получения дополнительных команд и скачивания дополнительных модулей.
Для него характерны также функции выявления виртуальных машин и ASCII-обфускация - все это для того, чтобы помешать анализу кода. Вредонос, кроме того, удостоверяется в том, что лишь один его экземпляр активен в скомпрометированной системе.
Слон затих в засаде
Эксперты Trellix обнаружили, что командный сервер на данный момент неактивен. Либо функциональность всей инфраструктуры вредоноса нарушена, либо операторы используют другой C2-сервер, который пока не удалось выявить.
- По всей видимости, это рядовой по нынешним временам шпионский инструмент, какие теперь есть у каждой технологически продвинутой нации, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - С тех пор как кибероружие в принципе появилось на свет, атаки с использованием подобных инструментов стали повседневной обыденностью, а используемые инструменты отличаются друг от друга все меньше.
DoNot APT и раньше атаковал европейские организации - в частности, норвежскую телекоммуникационную фирму и британские компании. Но лобовая атака на дипломатическое ведомство в Европе отмечена впервые. По-видимому, сфера интересов APT-кластера разрастается.
Короткая ссылка
