Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Индия под прицелом пакистанской APT-группы APT36

01/10/24

images - 2024-10-01T121557.474

Специалисты Cyfirma провели OSINT-расследование и выявили инфраструктуру, связанную с группой «Transparent Tribe» (APT36), уделяя особое внимание серверам командного управления (C2). Исследование началось после публикации в X* эксперта по безопасности @PrakkiSathwik, который обнаружил два IP-адреса, связанных с C2-серверами группы — 206.189.134.185 и 143.198.64.151.

Исходной точкой исследования был IP-адрес 143.198.64.151, зарегистрированный на платформе DigitalOcean (ASN AS14061), пишет Securitylab. Этот IP был идентифицирован как Mythic C2-сервер, работающий на портах 22 (SSH), 80 (HTTP) и 7443 (HTTPS). Mythic — это многофункциональный фреймворк для проведения пост-эксплуатационных операций, предназначенный для командных учений, но также часто используемый злоумышленниками.

Для выявления других серверов, связанных с этой инфраструктурой, применялись инструменты для сканирования и анализа серверов, такие как JARM (для определения конфигураций TLS) и метаданные HTML-титулов. В результате специалисты выявили 15 IP-адресов, также зарегистрированных на DigitalOcean и связанных с фреймворком Mythic.

Было обнаружено, что в ходе атаки используются файлы Linux desktop entry, замаскированные под PDF и распространяющие вредоносный код. Эти файлы впервые были обнаружены в Индии, что указывает на возможную цель кампании — индийских пользователей и организации. Это согласуется с историей активности Transparent Tribe, которая известна атаками на индийские правительственные структуры через фишинг и другие векторы атак.

Transparent Tribe активно использует Linux-среды, учитывая их широкое распространение в правительственных организациях Индии, особенно на базе операционных систем Debian, таких как BOSS OS и Maya OS.

Как уже было упомянуто выше, расследование выявило 15 IP-адресов, связанных с использованием Mythic и Poseidon-агентов. Эти адреса функционируют как C2-серверы, позволяющие злоумышленникам управлять зараженными системами.

APT36, также известная как Transparent Tribe, — группа, предположительно базирующаяся в Пакистане, действующая с 2013 года. Несмотря на ограниченные технические возможности, группа демонстрирует настойчивость и постоянное развитие тактик. Основными целями являются правительственные, оборонные и образовательные структуры Индии.

В ходе атак злоумышленники применяют фишинг и распространяют вредоносные программы с использованием Linux-бинарных файлов и open source инструментов, таких как Mythic. Используемые ими методы позволяют обходить традиционные средства безопасности и обеспечивать постоянный доступ к зараженным системам.

Темы:ПреступленияИндияAPT-группыгосударственные хакерыCyfirma
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...