Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT36 применяет CapraRAT через Contabo, маскируя угрозы под Viber

3 мин
Недавнее расследование компании CloudSEK выявило, что группа APT36, известная также как Transparent Tribe, активно применяет VPS-инфраструктуру провайдера Contabo для проведения вредоносной деятельности. В частности, злоумышленники распространяют троян удалённого доступа для Android — CapraRAT, а также вредоносное ПО для Windows — Crimson RAT. Эти открытия говорят о повышении уровня тактической изощрённости группы и усложнении приемов маскировки своих операций. Одним из ключевых нововведений в арсенале APT36 стало сокрытие CapraRAT под видом легитимного мессенджера Viber. Такой подход позволяет значительно повысить вероятность заражения, поскольку многие пользователи доверяют знакомому бренду и не подозревают, что на их устройства устанавливается вредоносное ПО. Этот модифицированный CapraRAT обладает широкими правами доступа, включая: CloudSEK подтвердил, что APT36 продолжает использовать Contabo для хостинга своих серверов командного и управляющего центра (command-and-control, C2). П
Оглавление
Источник: www.cloudsek.com
Источник: www.cloudsek.com

APT36 использует инфраструктуру Contabo для распространения опасных RAT-вредоносов

Недавнее расследование компании CloudSEK выявило, что группа APT36, известная также как Transparent Tribe, активно применяет VPS-инфраструктуру провайдера Contabo для проведения вредоносной деятельности. В частности, злоумышленники распространяют троян удалённого доступа для Android — CapraRAT, а также вредоносное ПО для Windows — Crimson RAT. Эти открытия говорят о повышении уровня тактической изощрённости группы и усложнении приемов маскировки своих операций.

Маскировка под законное приложение Viber

Одним из ключевых нововведений в арсенале APT36 стало сокрытие CapraRAT под видом легитимного мессенджера Viber. Такой подход позволяет значительно повысить вероятность заражения, поскольку многие пользователи доверяют знакомому бренду и не подозревают, что на их устройства устанавливается вредоносное ПО.

Этот модифицированный CapraRAT обладает широкими правами доступа, включая:

  • запись аудио;
  • чтение и перехват текстовых сообщений (SMS);
  • отслеживание точного местоположения устройства;
  • получение доступа к контактам и истории звонков;
  • контроль исходящих звонков;
  • использование камеры;
  • управление учётными записями на устройстве.

Инфраструктура Contabo и тактика APT36

CloudSEK подтвердил, что APT36 продолжает использовать Contabo для хостинга своих серверов командного и управляющего центра (command-and-control, C2). Поддержка DNS и хостинг-инфраструктуры с этим провайдером оказались ключевыми элементами для успешного развёртывания и управления вредоносными кампаниями.

Интересно, что CapraRAT основан на открытом исходном коде AndroRAT, что упрощает злоумышленникам его модификацию под собственные нужды.

Анализ инфраструктуры Crimson RAT

Для выявления дополнительных вредоносных компонентов и серверов APT36 был проведён запрос в сервис Censys, который позволил обнаружить и подтвердить с помощью VirusTotal большое количество совпадений по тактикам, методам и процедурам (TTP) с уже известными операциями группы. Один из IP-адресов, используемых для Crimson RAT command-and-control, ранее неоднократно фигурировал в атаках APT36.

Анализ файлов, загружаемых с этого IP, выявил несколько вредоносных APK-пакетов. Особенно примечательными оказались два файла с именем com.moves.media.tubes, тесно связанных с текущими кампаниями группы в 2024 году.

Социальная инженерия и технологические возможности CapraRAT

Распространение вредоноса под видом популярного мессенджера — это классический пример социальной инженерии, усиленной техническими средствами. Такое сочетание существенно увеличивает шансы успешного заражения устройств и последующего контроля над ними.

Разрешения, которыми обладает CapraRAT под маской Viber, не только позволяют следить за действиями пользователя, но и управлять коммуникациями, собирать конфиденциальную информацию и полностью контролировать функционал устройства — что представляет серьёзную угрозу для безопасности личных данных и корпоративных систем.

Выводы и рекомендации

Полученные данные свидетельствуют о том, что APT36 сохраняет высокий уровень активности и готовность к развитию своих инструментов и тактик. Использование легитимных сервисов и инфраструктур, вроде Contabo, создаёт дополнительные трудности для обнаружения и блокировки их операций.

В условиях роста угроз группировки подобного уровня организациям и пользователям рекомендуется:

  • повышать осведомлённость о рисках, связанных с установкой приложений из непроверенных источников;
  • регулярно обновлять системы безопасности и антивирусные базы;
  • использовать системы обнаружения и предотвращения вторжений (IDS/IPS);
  • контролировать сетевой трафик и своевременно реагировать на подозрительную активность, особенно связанную с VPS и хостинг-провайдерами;
  • применять многофакторную аутентификацию и минимизировать права пользователей.

В условиях постоянного эволюционирования угроз кибербезопасность требует комплексного и проактивного подхода, что особенно актуально при столкновении с такими высокоорганизованными группами, как APT36.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT36 применяет CapraRAT через Contabo, маскируя угрозы под Viber".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.