Пресс-релиз, который ломает компьютеры — Минобороны даже не заметило подвоха

Хакерская группа, связанная с группировками за пределами Пакистана, вновь оказалась в центре внимания после выявления её атак на правительственные организации Индии. Об этом сообщили специалисты компании Recorded Future*, которые связывают активность с кибергруппировкой TAG-140. По их данным, данное объединение пересекается с известным коллективом SideCopy, входящим в более крупную структуру Transparent Tribe (также известной под названиями APT -C-56, APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major и ProjectM).

Специалисты отмечают, что TAG-140 продолжает совершенствовать свои инструменты и методы доставки вредоносного кода. Последняя обнаруженная кампания хакеров демонстрирует изменения как в архитектуре вредоносного ПО, так и в системах управления атакой. Примечательно, что злоумышленники имитировали официальный портал Министерства обороны Индии, создавая поддельный сайт с пресс-релизами ведомства.

Основным инструментом кибератаки стала обновлённая версия троянской программы удалённого доступа DRAT, получившая обозначение DRAT V2. Этот троян является очередным элементом в арсенале SideCopy, куда также входят такие вредоносные программы, как Action RAT, AllaKore RAT, Ares RAT, CurlBack RAT, ReverseRAT, Spark RAT и Xeno RAT, предназначенные для атак на системы Windows и Linux.

Новая версия DRAT подтверждает стремление злоумышленников разнообразить и усовершенствовать свои инструменты, формируя так называемый «взаимозаменяемый комплект» троянов. Такой подход позволяет не только эффективно похищать конфиденциальные данные, но и усложняет процесс отслеживания и идентификации атак.

Согласно данным Recorded Future, активность TAG-140 выходит за рамки традиционных целей, таких как государственные учреждения, оборонные и морские структуры, а также научные организации. Теперь под угрозой оказались компании, связанные с железнодорожным транспортом, нефтегазовой отраслью и внешнеполитическим ведомством Индии. Хакеры из этого объединения проявляют активность как минимум с 2019 года.

Атака начинается с так называемой схемы ClickFix, при которой пользователю подсовывается поддельный сайт, внешне идентичный официальному ресурсу Министерства обороны Индии. На сайте размещена ссылка, при нажатии на которую на компьютер жертвы копируется вредоносная команда. Затем пользователя убеждают вставить эту команду в командную строку и запустить её вручную.

Эта команда инициирует загрузку специального файла HTML Application (HTA) с внешнего сервера под названием «trade4wealth[.]in». Запуск файла происходит через стандартное средство Windows — программу «mshta.exe». После этого на компьютер загружается вспомогательная программа BroaderAspect, отвечающая за установку системы на постоянной основе через изменение реестра, открытие подложного PDF-документа и последующую загрузку DRAT V2.

Новая версия трояна получила ряд усовершенствований. В частности, она позволяет выполнять произвольные команды через командную строку, что расширяет возможности злоумышленников после взлома системы. Также улучшена маскировка серверов управления за счёт кодирования IP-адресов с использованием Base64. Обновлён протокол связи между заражённой системой и сервером: теперь поддерживаются команды как в формате ASCII, так и Unicode, однако ответы поступают только в ASCII. Для сравнения, предыдущая версия DRAT требовала использование Unicode как для отправки, так и для получения данных.

Специалисты отмечают, что DRAT V2 стал проще с точки зрения сокрытия своего кода: большинство заголовков команд теперь остаются в открытом виде, что может повысить стабильность работы трояна, но одновременно упрощает его обнаружение с помощью статического и поведенческого анализа. Тем не менее, даже несмотря на отсутствие сложных методов защиты, программа остаётся опасной благодаря способности проводить разведку, загружать дополнительные вредоносные компоненты и выкачивать данные.

По мнению специалистов Recorded Future, появление DRAT V2 свидетельствует не о резком технологическом скачке, а о поступательном развитии арсенала TAG-140. Этот подход позволяет группировке регулярно менять используемое вредоносное ПО, что затрудняет его выявление и обеспечивает гибкость при проведении атак.

* Recorded Future признана нежелательной организацией в России.