- 21,728
- 46
- 8 Ноя 2022
Почему BOSS Linux стала мишенью Transparent Tribe? Разбираемся в новой волне кибершпионажа.
Пакистанская хакерская группа, известная под названием Transparent Tribe (APT36) , активизировала кибершпионаж против государственных структур Индии, используя новый вредоносный инструмент DeskRAT, созданный на языке Go. Об этом сообщили аналитики компании Sekoia, зафиксировавшие активность в августе и сентябре этого года.
Кампания продолжает линию атак, описанных ранее в отчёте компании CYFIRMA. Распространение DeskRAT осуществляется через фишинговые письма , содержащие ZIP-архивы с вредоносными файлами. В них скрыт файл-ярлык, при открытии которого одновременно открывается PDF-документ-приманка и загружается основной исполняемый файл с внешнего домена «modgovindia[.]com».
Целями атаки остаются системы на базе BOSS Linux — отечественной индийской операционной системы. Троян устанавливает соединение с сервером управления по протоколу WebSocket и использует один из четырёх методов закрепления в системе: создание службы systemd, настройку задания cron, добавление в автозапуск через папку автозагрузки или модификацию файла .bashrc с запуском скрипта из директории system-backup.
Вредоносный код поддерживает набор команд для обмена данными, опроса содержимого директорий, поиска и отправки файлов с определёнными расширениями (не превышающих 100 МБ), а также загрузки и запуска дополнительных полезных нагрузок — как скриптов, так и исполняемых файлов. Кроме того, DeskRAT может работать в связке со «стелс-серверами» — доменной инфраструктурой без публичных DNS-записей, что усложняет их обнаружение.
Китайская лаборатория QiAnXin XLab сообщила, что атаки Transparent Tribe вышли за рамки Linux и затронули Windows-системы. Используемый для этого бэкдор StealthServer имеет несколько вариантов. Первая версия, замеченная в июле, внедряется через задания планировщика, скрипты PowerShell и модификации реестра, а взаимодействие с сервером управления осуществляется по TCP. Вторая и третья версии, появившиеся в августе, добавили защиту от отладки и перешли на WebSocket. Последняя по функциональности совпадает с DeskRAT.
Кроме того, XLab идентифицировала две отдельные версии StealthServer под Linux. Один из них использует HTTP вместо WebSocket и имеет упрощённый набор команд: просмотр директорий, загрузка файлов и исполнение bash-команд. Он также сканирует всю файловую систему в поисках нужных расширений и отправляет их в зашифрованном виде на сервер «modgovindia[.]space:4000». Это позволяет предположить, что данный вариант был предшественником DeskRAT, где функции поиска и отправки реализованы более структурированно.
Эволюция вредоносных инструментов Transparent Tribe показывает, как быстро государственные хакерские группы адаптируются к новым условиям, расширяя охват, совершенствуя механизмы внедрения и обхода защиты — и тем самым усиливая угрозу для критически важной инфраструктуры.
Пакистанская хакерская группа, известная под названием Transparent Tribe (APT36) , активизировала кибершпионаж против государственных структур Индии, используя новый вредоносный инструмент DeskRAT, созданный на языке Go. Об этом сообщили аналитики компании Sekoia, зафиксировавшие активность в августе и сентябре этого года.
Кампания продолжает линию атак, описанных ранее в отчёте компании CYFIRMA. Распространение DeskRAT осуществляется через фишинговые письма , содержащие ZIP-архивы с вредоносными файлами. В них скрыт файл-ярлык, при открытии которого одновременно открывается PDF-документ-приманка и загружается основной исполняемый файл с внешнего домена «modgovindia[.]com».
Целями атаки остаются системы на базе BOSS Linux — отечественной индийской операционной системы. Троян устанавливает соединение с сервером управления по протоколу WebSocket и использует один из четырёх методов закрепления в системе: создание службы systemd, настройку задания cron, добавление в автозапуск через папку автозагрузки или модификацию файла .bashrc с запуском скрипта из директории system-backup.
Вредоносный код поддерживает набор команд для обмена данными, опроса содержимого директорий, поиска и отправки файлов с определёнными расширениями (не превышающих 100 МБ), а также загрузки и запуска дополнительных полезных нагрузок — как скриптов, так и исполняемых файлов. Кроме того, DeskRAT может работать в связке со «стелс-серверами» — доменной инфраструктурой без публичных DNS-записей, что усложняет их обнаружение.
Китайская лаборатория QiAnXin XLab сообщила, что атаки Transparent Tribe вышли за рамки Linux и затронули Windows-системы. Используемый для этого бэкдор StealthServer имеет несколько вариантов. Первая версия, замеченная в июле, внедряется через задания планировщика, скрипты PowerShell и модификации реестра, а взаимодействие с сервером управления осуществляется по TCP. Вторая и третья версии, появившиеся в августе, добавили защиту от отладки и перешли на WebSocket. Последняя по функциональности совпадает с DeskRAT.
Кроме того, XLab идентифицировала две отдельные версии StealthServer под Linux. Один из них использует HTTP вместо WebSocket и имеет упрощённый набор команд: просмотр директорий, загрузка файлов и исполнение bash-команд. Он также сканирует всю файловую систему в поисках нужных расширений и отправляет их в зашифрованном виде на сервер «modgovindia[.]space:4000». Это позволяет предположить, что данный вариант был предшественником DeskRAT, где функции поиска и отправки реализованы более структурированно.
Эволюция вредоносных инструментов Transparent Tribe показывает, как быстро государственные хакерские группы адаптируются к новым условиям, расширяя охват, совершенствуя механизмы внедрения и обхода защиты — и тем самым усиливая угрозу для критически важной инфраструктуры.
- Источник новости
- www.securitylab.ru
