Импортозамещённый Linux не спас. Новый Go-троян бьет по госструктурам

Пакистанская хакерская группа, известная под названием Transparent Tribe (APT36), активизировала кибершпионаж против государственных структур Индии, используя новый вредоносный инструмент DeskRAT, созданный на языке Go. Об этом сообщили аналитики компании Sekoia, зафиксировавшие активность в августе и сентябре этого года.

Кампания продолжает линию атак, описанных ранее в отчёте компании CYFIRMA. Распространение DeskRAT осуществляется через фишинговые письма, содержащие ZIP-архивы с вредоносными файлами. В них скрыт файл-ярлык, при открытии которого одновременно открывается PDF-документ-приманка и загружается основной исполняемый файл с внешнего домена «modgovindia[.]com».

Целями атаки остаются системы на базе BOSS Linux — отечественной индийской операционной системы. Троян устанавливает соединение с сервером управления по протоколу WebSocket и использует один из четырёх методов закрепления в системе: создание службы systemd, настройку задания cron, добавление в автозапуск через папку автозагрузки или модификацию файла .bashrc с запуском скрипта из директории system-backup.

Вредоносный код поддерживает набор команд для обмена данными, опроса содержимого директорий, поиска и отправки файлов с определёнными расширениями (не превышающих 100 МБ), а также загрузки и запуска дополнительных полезных нагрузок — как скриптов, так и исполняемых файлов. Кроме того, DeskRAT может работать в связке со «стелс-серверами» — доменной инфраструктурой без публичных DNS-записей, что усложняет их обнаружение.

Китайская лаборатория QiAnXin XLab сообщила, что атаки Transparent Tribe вышли за рамки Linux и затронули Windows-системы. Используемый для этого бэкдор StealthServer имеет несколько вариантов. Первая версия, замеченная в июле, внедряется через задания планировщика, скрипты PowerShell и модификации реестра, а взаимодействие с сервером управления осуществляется по TCP. Вторая и третья версии, появившиеся в августе, добавили защиту от отладки и перешли на WebSocket. Последняя по функциональности совпадает с DeskRAT.

Кроме того, XLab идентифицировала две отдельные версии StealthServer под Linux. Один из них использует HTTP вместо WebSocket и имеет упрощённый набор команд: просмотр директорий, загрузка файлов и исполнение bash-команд. Он также сканирует всю файловую систему в поисках нужных расширений и отправляет их в зашифрованном виде на сервер «modgovindia[.]space:4000». Это позволяет предположить, что данный вариант был предшественником DeskRAT, где функции поиска и отправки реализованы более структурированно.

Эволюция вредоносных инструментов Transparent Tribe показывает, как быстро государственные хакерские группы адаптируются к новым условиям, расширяя охват, совершенствуя механизмы внедрения и обхода защиты — и тем самым усиливая угрозу для критически важной инфраструктуры.