- 24,427
- 46
- 8 Ноя 2022
Разбираем изнанку работы группировок, которые ценят терпение выше ярких спецэффектов.
На фоне роста числа целевых атак на госструктуры всё чаще заметны кампании, которые годами развиваются почти без шума и не гонятся за быстрым эффектом. В свежем разборе Aryaka Threat Research Labs описаны признаки такой «экосистемы кибершпионажа» вокруг группировки Transparent Tribe (APT36) , связанной с Пакистаном, и близкой к ней SideCopy. Обе продолжают системно работать против индийских государственных и оборонных организаций.
По данным команды Aryaka, за последний месяц зафиксировано несколько активных кампаний, затронувших как Windows, так и Linux. Общая логика остаётся прежней: скрытный доступ и длительный сбор данных, но инструменты и способы закрепления постепенно усложняются, включая межплатформенные полезные нагрузки и более незаметные каналы управления.
В Windows-сценарии злоумышленники рассылали фишинговые письма , которые приводили к загрузке LNK- и HTA-файлов. Дальше разворачивался GETA RAT, троян удалённого доступа на .NET, который в отчёте связывают с SideCopy. Цепочка заражения опиралась на штатные компоненты Windows, включая mshta.exe, а также техники десериализации XAML и выполнение в памяти, что помогает обходить классические проверки, завязанные на файлы. Для удержания контроля применялись многоуровневые механизмы автозапуска, рассчитанные на сохранение доступа даже при частичном срыве цепочки внедрения.
Параллельно наблюдалась отдельная линия атак на Linux , где Transparent Tribe, по оценке авторов, заметно прибавила в зрелости. Использовался загрузчик на Go, устанавливавший ARES RAT, Python-инструмент удалённого доступа, который ранее уже связывали с активностью APT36. После установки вредонос собирал профиль системы, рекурсивно перечислял файлы и готовил структурированную выгрузку данных. Закрепление обеспечивали пользовательские сервисы systemd, благодаря чему заражение переживало перезагрузки и выглядело как обычная системная активность.
Отдельно отмечен новый инструмент Desk RAT , также написанный на Go. Его доставляли через вредоносное надстроечное расширение PowerPoint в формате PPAM. Этот троян делает упор на телеметрию и наблюдение в реальном времени, собирает расширенную диагностику хоста и использует WebSocket для обмена служебными сообщениями и командным трафиком, поддерживая постоянную осведомлённость операторов о состоянии заражённых систем.
В материале подчёркивается, что Transparent Tribe и SideCopy не столько изобретают новые подходы, сколько аккуратно «дотачивают» проверенные методы, расширяя покрытие по платформам и повышая скрытность. Это усложняет обнаружение и требует контроля поведенческих сигналов и прозрачности мониторинга одновременно в Windows- и Linux-средах .
На фоне роста числа целевых атак на госструктуры всё чаще заметны кампании, которые годами развиваются почти без шума и не гонятся за быстрым эффектом. В свежем разборе Aryaka Threat Research Labs описаны признаки такой «экосистемы кибершпионажа» вокруг группировки Transparent Tribe (APT36) , связанной с Пакистаном, и близкой к ней SideCopy. Обе продолжают системно работать против индийских государственных и оборонных организаций.
По данным команды Aryaka, за последний месяц зафиксировано несколько активных кампаний, затронувших как Windows, так и Linux. Общая логика остаётся прежней: скрытный доступ и длительный сбор данных, но инструменты и способы закрепления постепенно усложняются, включая межплатформенные полезные нагрузки и более незаметные каналы управления.
В Windows-сценарии злоумышленники рассылали фишинговые письма , которые приводили к загрузке LNK- и HTA-файлов. Дальше разворачивался GETA RAT, троян удалённого доступа на .NET, который в отчёте связывают с SideCopy. Цепочка заражения опиралась на штатные компоненты Windows, включая mshta.exe, а также техники десериализации XAML и выполнение в памяти, что помогает обходить классические проверки, завязанные на файлы. Для удержания контроля применялись многоуровневые механизмы автозапуска, рассчитанные на сохранение доступа даже при частичном срыве цепочки внедрения.
Параллельно наблюдалась отдельная линия атак на Linux , где Transparent Tribe, по оценке авторов, заметно прибавила в зрелости. Использовался загрузчик на Go, устанавливавший ARES RAT, Python-инструмент удалённого доступа, который ранее уже связывали с активностью APT36. После установки вредонос собирал профиль системы, рекурсивно перечислял файлы и готовил структурированную выгрузку данных. Закрепление обеспечивали пользовательские сервисы systemd, благодаря чему заражение переживало перезагрузки и выглядело как обычная системная активность.
Отдельно отмечен новый инструмент Desk RAT , также написанный на Go. Его доставляли через вредоносное надстроечное расширение PowerPoint в формате PPAM. Этот троян делает упор на телеметрию и наблюдение в реальном времени, собирает расширенную диагностику хоста и использует WebSocket для обмена служебными сообщениями и командным трафиком, поддерживая постоянную осведомлённость операторов о состоянии заражённых систем.
В материале подчёркивается, что Transparent Tribe и SideCopy не столько изобретают новые подходы, сколько аккуратно «дотачивают» проверенные методы, расширяя покрытие по платформам и повышая скрытность. Это усложняет обнаружение и требует контроля поведенческих сигналов и прозрачности мониторинга одновременно в Windows- и Linux-средах .
- Источник новости
- www.securitylab.ru
