Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

TA397: государственный кибершпион с фокусом на дипломатию и безопасность

3 мин
В недавнем отчёте подробно описана деятельность TA397 — кибергруппы, предположительно связанной с индийскими спецслужбами и ориентированной на сбор разведданных. Главной целью атак являются правительственные и оборонные структуры Европы и Азии, особенно те, которые имеют отношение к Китаю, Пакистану и стране-соседам. Несмотря на ограниченные по сравнению с другими государственно поддерживаемыми хакерами ресурсы, TA397 демонстрирует высокий уровень активности, креативность и адаптивность в своей оперативной тактике. Основным каналом проникновения группы остаются фишинговые электронные письма, тщательно подстроенные под актуальные геополитические темы, что повышает шансы успешного заражения. Со временем TA397 перешла от использования известных уязвимостей (CVE) к более сложным методам, включая создание запланированных задач (scheduled tasks) для доставки и запуска вредоносных программ. TA397 использует такие инструменты, как Kugelblitz и разнообразные RATs (Remote Access Trojans), демонс
Оглавление

TA397 — государственно поддерживаемая хакерская группа с геополитическим фокусом

В недавнем отчёте подробно описана деятельность TA397 — кибергруппы, предположительно связанной с индийскими спецслужбами и ориентированной на сбор разведданных. Главной целью атак являются правительственные и оборонные структуры Европы и Азии, особенно те, которые имеют отношение к Китаю, Пакистану и стране-соседам. Несмотря на ограниченные по сравнению с другими государственно поддерживаемыми хакерами ресурсы, TA397 демонстрирует высокий уровень активности, креативность и адаптивность в своей оперативной тактике.

Методы и технологии атак

Основным каналом проникновения группы остаются фишинговые электронные письма, тщательно подстроенные под актуальные геополитические темы, что повышает шансы успешного заражения. Со временем TA397 перешла от использования известных уязвимостей (CVE) к более сложным методам, включая создание запланированных задач (scheduled tasks) для доставки и запуска вредоносных программ.

  • Использование разнообразных типов файлов: архивы MSC, LNK, CHM и RAR;
  • Создание скрытых задач, выполняющихся через PowerShell для загрузки полезной нагрузки и контроля системы;
  • Постоянное обновление и модификация методик доставки вредоносного ПО.

Вредоносное ПО и инфраструктура

TA397 использует такие инструменты, как Kugelblitz и разнообразные RATs (Remote Access Trojans), демонстрируя высокий уровень развития своих средств для кибершпионажа. Их инфраструктура построена с акцентом на высокую достоверность и надежность. Для обеспечения маскировки серверы используют сертификаты Let’s Encrypt, а URI на PHP выделяются включением имени компьютера и логина жертвы — такая последовательность облегчает обнаружение и анализ атаки.

Особое значение имеет использование уязвимости CVE-2024-43572 (известной как GrimResource), позволяющей выполнять удалённый код в контексте mmc.exe. Это активно эксплуатировалось в последних кампаниях группы. Исторически TA397 применяла вредоносные загрузчики, например, ArtraDownloader, однако новые методы предполагают более гибкую интеграцию последующих полезных нагрузок после первоначальной компрометации.

Географические и временные характеристики

Анализ временных меток операций TA397 показывает соответствие индийскому стандартному времени (Indian Standard Time), что косвенно подтверждает связь группы с Индией и помогает сориентироваться во временных рамках активности. Это укрепляет предположение о походжении и географии деятельности хакеров.

Стратегия и значимость TA397

TA397 является примером настойчивого и хорошо организованного участника кибершпионажа, который сочетает систематические методы с постоянно развивающимися инструментами. Их подход основан на глубоких знаниях геополитической обстановки и стратегиях обеспечения операционной безопасности. Это делает группу существенно важным игроком в сфере государственного кибершпионажа.

Примечательно, что инфраструктура TA397 частично совпадает с инфраструктурой других известных индийских хакерских групп, что свидетельствует о совместных усилиях в разведывательных операциях. Такая интеграция подчеркивает общие цели кибершпионажа в Южной Азии, особенно в областях национальной безопасности и дипломатии.

Ключевые выводы

  • TA397 работает преимущественно против правительственных и оборонных структур, связанных с Китаем, Пакистаном и соседними странами.
  • Группа использует фишинг и хитроумные методы доставки вредоносного кода через запланированные задачи.
  • Применяется широкий спектр типов файлов (MSC, LNK, CHM, RAR) для маскировки вредоносных операций.
  • Активно эксплуатируется критическая уязвимость CVE-2024-43572 (GrimResource).
  • Инфраструктура построена с высоким уровнем достоверности, применяя сертификаты Let’s Encrypt и уникальные URI.
  • Сопоставление времени операций с индийским часовым поясом поддерживает гипотезу о географическом происхождении группы.
  • Совместная деятельность с другими индийскими группами свидетельствует о сложности и координации разведывательных операций.

В целом, деятельность TA397 — это яркий пример современного государственного кибершпионажа, основанного на сочетании проверенных методов и инновационных подходов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "TA397: государственный кибершпион с фокусом на дипломатию и безопасность".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.