Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT36 и Operation Sindoor: усовершенствованные фишинг-атаки на Индию

3 мин
17 апреля 2025 года индийская кибернетическая телеметрия зафиксировала масштабные аномалии, ориентированные на правительственные почтовые серверы и объекты оборонной инфраструктуры. Эти атаки, получившие название Operation Sindoor, продемонстрировали новый уровень сложности и координации в сфере кибербезопасности страны. В основе Operation Sindoor лежала серия целенаправленных фишинговых кампаний. Для повышения вероятности открытия вложений злоумышленники использовали документы-приманки, связанные с недавними национальными трагедиями, что усиливало психологическое воздействие и маскировало вредоносную полезную нагрузку. Эти вредоносные документы содержали макросы и скрипты, которые обеспечивали скрытую коммуникацию с системой командования и контроля (C2), а также развертывание продвинутого вредоносного ПО. Основным игроком выступала группа APT36, продемонстрировавшая заметную эволюцию тактики. Эксперты выделяют ключевые методы, применяемые злоумышленниками в ходе операции: Основной инс
Оглавление

17 апреля 2025 года индийская кибернетическая телеметрия зафиксировала масштабные аномалии, ориентированные на правительственные почтовые серверы и объекты оборонной инфраструктуры. Эти атаки, получившие название Operation Sindoor, продемонстрировали новый уровень сложности и координации в сфере кибербезопасности страны.

Суть атаки и методы злоумышленников

В основе Operation Sindoor лежала серия целенаправленных фишинговых кампаний. Для повышения вероятности открытия вложений злоумышленники использовали документы-приманки, связанные с недавними национальными трагедиями, что усиливало психологическое воздействие и маскировало вредоносную полезную нагрузку.

Эти вредоносные документы содержали макросы и скрипты, которые обеспечивали скрытую коммуникацию с системой командования и контроля (C2), а также развертывание продвинутого вредоносного ПО. Основным игроком выступала группа APT36, продемонстрировавшая заметную эволюцию тактики.

  • Ранее злоумышленники использовали загрузчик Poseidon, а теперь перешли на модульную вредоносную платформу Ares.
  • Ares сочетает разнообразные техники для обеспечения скрытности и стойкости относительно обнаружения.
  • Фишинг с вложениями в форматах: .ppam, .xlam, .lnk, .xlsb, .msi.
  • Макросы внутри документов выполняли веб-запросы к управляющим доменам, например, fogomyart.com.
  • Использование поддельных индийских доменов – zohidsindia.com и nationaldefensecollege.com – для доставки полезной нагрузки.
  • C2-серверы связаны с IP-адресом 167.86.97.58 и работают по протоколам прикладного уровня.

Передовые тактики и инструменты APT36

Эксперты выделяют ключевые методы, применяемые злоумышленниками в ходе операции:

  • Первоначальный доступ: фишинг (T1566.001).
  • Выполнение команд: веб-запросы через макросы (T1059.005).
  • Поддержание постоянства: автономные двоичные файлы (LOLBins) (T1218), запланированные задачи (T1053.005), обход контроля учетных записей пользователей (T1548.002) и запутанные скрипты PowerShell (T1059.001, T1027).

Основной инструмент атаки — Ares RAT — является мощным трояном удаленного доступа, предоставляющим злоумышленникам полный контроль над заражёнными устройствами, включая функции:

  • Ведение кейлоггинга;
  • Захват экранного изображения;
  • Управление файлами на скомпрометированном хосте.

Скоординированная кампания с участием хактивистов

Параллельно с деятельностью APT36, на национальный сектор были направлены и другие кибератаки — DDoS, повреждение веб-ресурсов и утечка данных. Эти действия характерны для хактивистских группировок, действовавших с высокой степенью координации.

Для организации и согласования атак использовались популярные коммуникационные платформы, такие как Telegram, с применением хэштегов #Opind и #OperationSindoor.

Основное внимание было уделено таким ключевым организациям, как:

  • Министерство обороны Индии;
  • Больницы AIIMS;
  • Телефонные и телекоммуникационные компании;
  • Критически важные объекты здравоохранения и обороны.

Влияние и последствия операции

Операция Operation Sindoor выявила тревожную тенденцию — объединение усилий государственных кибершпионов и хактивистов, что создает новый уровень угроз в сфере кибервойн и психологических операций. Такое сотрудничество расширяет спектр атаки, объединяя технический взлом и социальный инженеринг.

Цели атак выходят далеко за рамки кражи данных — они направлены на подрыв общественного доверия, нарушение работы национальных систем и дестабилизацию в критические геополитические моменты.

  • Утечки конфиденциальной информации;
  • Сбои из-за DDoS-атак;
  • Ухудшение восприятия кибербезопасности в государственных структурах Индии.

Таким образом, Operation Sindoor стала отражением новых реалий киберпространства, где граница между шпионажем и идеологической борьбой становится всё менее очевидной.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT36 и Operation Sindoor: усовершенствованные фишинг-атаки на Индию".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.