Индийская APT-группа Confucius использует новую тактику для атак в азиатских странах

Хакерская APT-группа Confucius, связанная с Индией, известна своими кибератаками на критическую инфраструктуру Китая, Пакистана и других стран Южной Азии. Объединение активно с 2013 года и имеет множественные пересечения с группой Patchwork в плане использования вредоносного ПО и инфраструктуры, пишет Securitylab. Нацелены хакеры из Confucius на самые разные сектора, включая правительственные учреждения, оборонные компании и даже ядерную промышленность.

Методы атаки Confucius APT разнообразны: рассылка писем с фишинговыми сайтами, вложениями с троянами, а также использование как собственных вредоносных программ, так и различных решений с открытым исходным кодом. Часто зловредные файлы скрываются в архивах формата «.rar» или «.zip», чтобы затруднить их обнаружение.

Недавно китайские эксперты выявили свежий образец атаки этой группы. Он представляет собой архив с рядом вредоносных файлов. Внутри обнаружены скрипты PowerShell, которые запускают загрузку вредоносных модулей на целевой системе. Скрипт создаёт фальшивый PDF-документ и открывает его, отвлекая пользователя от происходящих действий. Далее осуществляется загрузка модулей .NET, содержащих вредоносные функции.

Для усложнения анализа злоумышленники используют тактику смешения вредоносного и легитимного кода, а также наполняют программы бесполезным мусорным содержимым. После установки зловредное ПО подключается к удалённым серверам и загружает дополнительные компоненты для выполнения атакующих функций.

Вслед за успешным заражением вредоносный модуль осуществляет сбор информации о системе: находит порядковые номера дисков, имена компьютеров и пользователей. Далее троян загружает списки MD5-хешей и просматривает файловую систему в поисках документов с определенными расширениями. Полученные файлы передаются на удалённый сервер, избегая повторной загрузки уже переданных данных.

Анализ свежевыявленного образца подтвердил сходство с предыдущими атаками Confucius. Более того, доменные серверы, к которым обращается вредоносное ПО, уже помечены как связанные с этой группой.