Об этом сообщили аналитики компании Sekoia, зафиксировавшие преступления в августе и сентябре этого года.
Кампания продолжает линию атак, описанных ранее в отчёте компании CYFIRMA, поясняет Securitylab. Распространение DeskRAT осуществляется через фишинговые письма, содержащие ZIP-архивы с вредоносными файлами. В них скрыт файл-ярлык, при открытии которого одновременно открывается PDF-документ-приманка и загружается основной исполняемый файл с внешнего домена «modgovindia[.]com».
Целями атаки остаются системы на базе BOSS Linux — отечественной индийской операционной системы. Троян устанавливает соединение с сервером управления по протоколу WebSocket и использует один из четырёх методов закрепления в системе: создание службы systemd, настройку задания cron, добавление в автозапуск через папку автозагрузки или модификацию файла .bashrc с запуском скрипта из директории system-backup.
Вредоносный код поддерживает набор команд для обмена данными, опроса содержимого директорий, поиска и отправки файлов с определёнными расширениями (не превышающих 100 МБ), а также загрузки и запуска дополнительных полезных нагрузок — как скриптов, так и исполняемых файлов. Кроме того, DeskRAT может работать в связке со «стелс-серверами» — доменной инфраструктурой без публичных DNS-записей, что усложняет их обнаружение.
Китайская лаборатория QiAnXin XLab сообщила, что атаки Transparent Tribe вышли за рамки Linux и затронули Windows-системы. Используемый для этого бэкдор StealthServer имеет несколько вариантов. Первая версия, замеченная в июле, внедряется через задания планировщика, скрипты PowerShell и модификации реестра, а взаимодействие с сервером управления осуществляется по TCP. Вторая и третья версии, появившиеся в августе, добавили защиту от отладки и перешли на WebSocket. Последняя по функциональности совпадает с DeskRAT.
Кроме того, XLab идентифицировала две отдельные версии StealthServer под Linux. Один из них использует HTTP вместо WebSocket и имеет упрощённый набор команд: просмотр директорий, загрузка файлов и исполнение bash-команд. Он также сканирует всю файловую систему в поисках нужных расширений и отправляет их в зашифрованном виде на сервер «modgovindia[.]space:4000». Это позволяет предположить, что данный вариант был предшественником DeskRAT, где функции поиска и отправки реализованы более структурированно.
Эволюция вредоносных инструментов Transparent Tribe показывает, как быстро государственные хакерские группы адаптируются к новым условиям, расширяя охват, совершенствуя механизмы внедрения и обхода защиты — и тем самым усиливая угрозу для критически важной инфраструктуры.