Группировка Mahagrass: 14 лет шпионажа в сетях Южной Азии

Китайская ИБ-компания Qi'anxin обнаружила новую активность группы APT-Q-36 (Mahagrass, Patchwork, Dropping Elephant, Hangover). Группировка, имеющая южноазиатские корни, занимается кибершпионажем с 2009 года, основными целями являются государственные и военные учреждения, а также организации в области энергетики, промышленности, науки и образования, политики и экономики в Азии.

Недавно группировка использовала загрузчик Spyder Loader для распространения трояна удалённого доступа (Remote Access Trojan, RAT) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно.

Spyder, обновлявшийся несколько раз за последние месяцы, обладает способностью загружать и запускать исполняемые файлы с сервера управления и контроля (Command and Control, C2). В частности, было отмечено использование зашифрованных строк для уклонения от статического обнаружения антивирусными программами, а также адаптация формата данных для связи с C2-серверами.

Среди потенциальных целей атаки были упомянуты Пакистан, Бангладеш и Афганистан. Это указывает на высокую целеустремленность и продуманность действий злоумышленников, стремящихся избежать обнаружения и успешно выполнять задачи по сбору разведданных.

Qi'anxin призывает пользователей быть бдительными, избегать подозрительных ссылок в социальных сетях и почтовых вложений неизвестного происхождения, не запускать неизвестные файлы и не устанавливать ПО из ненадежных источников. Кибербезопасность остается важной областью внимания, поскольку группировки подобного рода продолжают развивать свои методы атаки и уклонения от защитных механизмов.

Напомним, что в отчёте по кибербезопасности за третий квартал 2023 года, опубликованном недавно HP Wolf Security, отмечается существенное увеличение числа кампаний, использующих RAT-трояны. Эксперты фиксируют рост использования RAT, которые зачастую скрываются в, казалось бы, легитимных файлах Excel и PowerPoint, прикреплённых к электронным письмам.

Кроме того, в сентябре была выявлена масштабная фишинговая кампания, нацеленная более чем на 40 крупных компаний различных отраслей экономики в Колумбии. Целью злоумышленников была скрытная установка на компьютеры сотрудников организаций Remcos RAT с возможностями для дальнейшей компрометации и получения ценных данных.

Отметим также, что в 2022 году компания Symantec сообщила о серии атак, приписываемых группировке APT41 (Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали загрузчик Spyder Loader – это их «визитная карточка», которой они ранее пользовались и в других атаках.