Согласно отчету360 Advanced Threat Research Institute, группировка APT-C-09 проводит непрекращающиеся атаки на Пакистан с использованием нового вредоносного ПО.
Для проведения атак группа использует файлы-приманки, замаскированные в ссылках на документы. Один из таких файлов имеет название “Quran.pdf.lnk” и при открытии запускает PowerShell-скрипты. Команды загружают поддельные документы и вредоносные компоненты с удалённых серверов, а также создают задачи для обеспечения долговременного присутствия на заражённой системе.
Основной вредоносный компонент – файл “Winver.exe”, который написан на Golang. Файл имеет цифровой сертификат, что затрудняет его обнаружение и блокировку антивирусными программами. При запуске Winver.exe собирает информацию о системе, пользователе и других параметрах, а затем передает данные на ” data-html=”true” data-original-title=”C2″ >C2-сервер по зашифрованным каналам связи.
Кроме того, были выявлены атаки с использованием Quasar RAT – ещё одного вредоносного инструмента, который ранее неоднократно применялся APT-C-09. Троян позволяет выполнять широкий спектр удалённых команд, включая создание скриншотов, управление файлами и процессами на заражённой системе.
Новые угрозы и продолжающееся совершенствование методов
Данный анализ показывает, что APT-C-09 активно развивает и совершенствует свои методы. Группа не ограничивается старыми инструментами, а постоянно внедряет новые технологии для обхода систем защиты и достижения своих целей.
Одним из характерных признаков атак APT-C-09 является использование сертификатов Let’s Encrypt для шифрования связи с сервером управления, а также применение алгоритмов шифрования RC4 и Base64, которые также использовались в предыдущих атаках группы.
В связи с продолжающимися атаками, важно усилить меры безопасности и соблюдать осторожность при работе с неизвестными файлами и ссылками. Пользователям рекомендуется избегать открытия подозрительных вложений и ссылок, а также регулярно обновлять антивирусное программное обеспечение и системы безопасности.