Киберпреступники используют сезон подачи налоговых деклараций в Индии для новой кампании вредоносного ПО, которая не кладет все яйца в одну корзину.
Исследователи из Cyderes обнаружили изощренную фишинговую операцию, маскирующуюся под Налоговое управление Индии, которая доставляет два трояна удаленного доступа (RAT) через многоступенчатую цепочку заражения, предоставляя злоумышленникам постоянный доступ к скомпрометированным системам.
Жители Индии получают поддельные электронные письма с налоговыми уведомлениями, которые вынуждают их загружать утилиту, выглядящую как официальная утилита для подачи ITR. Но убедительный правительственный брендинг скрывает тщательно спроектированную последовательность заражения, которая использует легитимные бинарные файлы Windows, боковую загрузку DLL, выполнение в памяти и внедрение процессов для получения постоянного доступа.
По данным Cyderes, в рамках операции развертывается производная Gh0st RAT и имплант на базе .NET, связанный с семейством QuasarRAT/AsyncRAT, каждый из которых связывается с отдельными серверами командно-контрольной (C2) инфраструктуры.
«Конструкция с двойным имплантом обеспечивает злоумышленнику резервный доступ, даже если один канал заблокирован или обнаружен», — заявили исследователи Cyderes в своем посте в блоге.
Скрытная многоступенчатая цепочка заражения
Чтобы избежать обнаружения, кампания выстраивает свою цепочку выполнения слоями, а не сбрасывает вредоносное ПО сразу после первоначального доступа.
Как только жертвы попадают в ловушку, загружая и открывая архивы, маскирующиеся под легитимные утилиты Налогового департамента, злоумышленники используют доверенные исполняемые файлы Windows для загрузки вредоносных DLL. Это позволяет вредоносному ПО заимствовать легитимность подписанных бинарных файлов, обходя при этом меры безопасности.
«Заражение начинается с ‘COU_ITR-1_to_4_AY2026-27.exe’, легитимного и подписанного цифровой подписью бинарного файла, который злоумышленник перепрофилирует в качестве загрузчика», — сообщили исследователи, добавив, что это известная техника, при которой злоумышленник «размещает вредоносную библиотеку в пути, который доверенный бинарный файл проверит первым, предоставляя вредоносному ПО чистую точку входа».
Затем кампания запускает последующие этапы заражения, которые используют несколько методов обхода защиты, включая проверки против анализа, исправление AMSI, зашифрованное выполнение сборок .NET в памяти и внедрение процессов с учетом сеанса в svchost.exe.
Множественные этапы атаки включают боковую загрузку DLL, проверку привилегий для обеспечения работы процесса атаки с правами администратора и внедрение полезной нагрузки с учетом сеанса.
Двойные импланты для операционной устойчивости
Кампания была особо отмечена за преднамеренное использование двух различных семейств RAT вместо опоры на один бэкдор.
В то время как один имплант основан на давно существующей линии Gh0st RAT, второй принадлежит к экосистеме QuasarRAT/AsyncRAT. Оба предоставляют возможности удаленного администрирования, позволяя злоумышленникам выполнять команды, собирать данные, развертывать дополнительные полезные нагрузки и поддерживать долгосрочный доступ к зараженным конечным точкам.
Каждый из этих RAT связывается с выделенной инфраструктурой командно-контрольной (c2), вероятно, для того, чтобы пережить обнаружение и блокировку любого из них во время реагирования на инцидент.
Cyderes рекомендовала сосредоточиться на поведенческом обнаружении, а не полагаться исключительно на сигнатуры EDR, поскольку кампания злоупотребляет доверенными компонентами Windows и выполнением в памяти. Ключевые индикаторы включают боковую загрузку DLL, неожиданное создание служб, вмешательство в работу AMSI, нативные процессы, размещающие среду выполнения .NET, и внедрение процессов в svchost.exe.
В сообщении также был представлен подробный набор IOC, включая хеши файлов, вредоносные домены, C2-инфраструктуру и артефакты хоста, связанные с обеими семьями RAT.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma




