Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

TA397: Индийский кибершпионаж против стратегических целей

3 мин
Группа кибершпионажа TA397, также известная под прозвищем Bitter, привлекает внимание экспертов благодаря своей тщательно организованной деятельности, направленной на сбор разведданных в стратегически важных регионах. По имеющимся сведениям, групировка спонсируется правительством Индии и работает в первую очередь против организаций государственного, дипломатического и оборонного секторов, особенно в странах, соседствующих с Индией, а также в Европе и Южной Америке. Активность TA397 сосредоточена на объектах, связанных с Китаем, Пакистаном и рядом других стран с геополитической значимостью для Индии. Основными целями группы являются: TA397 демонстрирует высокий уровень технической изощрённости, применяя различные методы для обеспечения постоянного доступа к заражённым системам. Распространёнными каналами проникновения служат фишинговые письма, которые маскируются под легитимные сообщения от правительственных или дипломатических органов. Особенности этих фишинговых сообщений включают: С
Оглавление
Источник: mp.weixin.qq.com
Источник: mp.weixin.qq.com

Группа кибершпионажа TA397, также известная под прозвищем Bitter, привлекает внимание экспертов благодаря своей тщательно организованной деятельности, направленной на сбор разведданных в стратегически важных регионах. По имеющимся сведениям, групировка спонсируется правительством Индии и работает в первую очередь против организаций государственного, дипломатического и оборонного секторов, особенно в странах, соседствующих с Индией, а также в Европе и Южной Америке.

Область деятельности и цели

Активность TA397 сосредоточена на объектах, связанных с Китаем, Пакистаном и рядом других стран с геополитической значимостью для Индии. Основными целями группы являются:

  • правительственные учреждения;
  • дипломатические представительства;
  • военно-промышленные организации.

Методы атаки и технические особенности

TA397 демонстрирует высокий уровень технической изощрённости, применяя различные методы для обеспечения постоянного доступа к заражённым системам. Распространёнными каналами проникновения служат фишинговые письма, которые маскируются под легитимные сообщения от правительственных или дипломатических органов.

Особенности этих фишинговых сообщений включают:

  • вложения форматов CHM, упакованные в архивы RAR;
  • ссылки на файлообменные сервисы;
  • использование взломанных аккаунтов или доверенных почтовых провайдеров — 163.com, 126.com, ProtonMail;
  • темы писем с ключевыми словами, связанными с авторизацией или приглашениями к участию в проектах, что указывает на интерес группы к конфиденциальной информации.

С 2016 года вредоносное ПО TA397 эволюционировало от простых загрузчиков до сложных Remote Access Trojan (RAT), отражая прогресс как в технологиях, так и в тактиках.

Инфраструктура и методы обеспечения устойчивости

Операционная инфраструктура TA397 работает в индийском стандартном времени (IST), что косвенно указывает на локацию операторов группы. Управление вредоносным ПО строится на основе запланированных задач, которые выполняются с регулярным интервалом примерно каждые 16–18 минут. Этот механизм позволяет поддерживать постоянную связь с C2-серверами, использующими сертификаты Let’s Encrypt.

В ходе последних расследований была обнаружена эксплуатация уязвимости CVE-2024-43572, а также использование разнообразных файловых форматов для загрузки и выполнения вредоносного кода:

  • LNK;
  • CHM;
  • MSC;
  • IQY;
  • MS Access.

Такая разноплановость позволяет TA397 гибко адаптироваться к защитным механизмам и обходить системы безопасности.

Код и тактические особенности

Вредоносное ПО группы характеризуется:

  • последовательными шаблонами кодирования;
  • фокусом на сборе системной информации;
  • широким применением методов обфускации;
  • наличием общей кодовой базы, что свидетельствует о централизованной разработке.

Масштаб и структура командных серверов

Анализ C2-инфраструктуры выявил более 120 доменов, включающих как командные серверы, так и промежуточные звенья. Многие из них используют URL-шаблоны на основе PHP, что соответствует распространённым инженерным практикам вредоносного ПО данной группы.

Регулярное выполнение запланированных задач и строгое соответствие графику по IST подчёркивают системность и целеустремленность TA397 в реализации кибершпионских операций.

Выводы

TA397 представляет собой продвинутую и хорошо финансируемую кибершпионскую группу, методы и инструменты которой постоянно эволюционируют. Их деятельность направлена на масштабный сбор разведданных и демонстрирует методичный, последовательный подход к атаке стратегически значимых целей. Обеспечение устойчивости и непрерывного доступа через сложные цепочки заражения делает TA397 одним из наиболее заметных игроков на поле кибершпионажа в регионах Юго-Восточной Азии и за её пределами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "TA397: Индийский кибершпионаж против стратегических целей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.