Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT 36: Современные стратегии кибершпионажа и расширение угроз

3 мин
Группа APT 36, широко известная под псевдонимом Transparent Tribe, представляет собой одну из наиболее активных и технологически продвинутых угроз в сфере кибершпионажа в Южной Азии. Базирующаяся в Пакистане, эта организация действует как минимум с 2013 года, специализируясь на целевых атаках в отношении индийских государственных структур, военных и оборонных подрядчиков. Последние исследования свидетельствуют о значительной эволюции в тактиках и инструментарии APT 36, а также расширении географии и спектра жертв. Ранее группа в основном фокусировалась на государственных органах и оборонном секторе Индии, однако с недавних пор стала активно атаковать и образовательные учреждения страны. Очередной пример – масштабная кампания, проходившая на фоне террористической атаки в Пахалгаме 22 апреля 2025 года. В этот период APT 36 развернула комплексные фишинговые операции, направленные на сотрудников индийского правительства и Министерства обороны. APT 36 активно применяет сложные сценарии соци
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

Группа APT 36, широко известная под псевдонимом Transparent Tribe, представляет собой одну из наиболее активных и технологически продвинутых угроз в сфере кибершпионажа в Южной Азии. Базирующаяся в Пакистане, эта организация действует как минимум с 2013 года, специализируясь на целевых атаках в отношении индийских государственных структур, военных и оборонных подрядчиков. Последние исследования свидетельствуют о значительной эволюции в тактиках и инструментарии APT 36, а также расширении географии и спектра жертв.

Новые цели и методы атак

Ранее группа в основном фокусировалась на государственных органах и оборонном секторе Индии, однако с недавних пор стала активно атаковать и образовательные учреждения страны. Очередной пример – масштабная кампания, проходившая на фоне террористической атаки в Пахалгаме 22 апреля 2025 года. В этот период APT 36 развернула комплексные фишинговые операции, направленные на сотрудников индийского правительства и Министерства обороны.

  • Использование поддельных PDF-файлов и документов с макросодержанием, замаскированных под официальные материалы.
  • Создание фальшивых доменов, имитирующих сайты полиции Джамму и Кашмира и военно-воздушных сил Индии.
  • Внедрение Crimson RAT – программного обеспечения, обеспечивающего полный удалённый доступ и крадущего данные.

Тактика социальной инженерии и вредоносная реклама

APT 36 активно применяет сложные сценарии социальной инженерии, используя реальные события и эмоционально заряженные истории, связанные с геополитическими конфликтами, что существенно повышает эффективность фишинговых кампаний. Особое внимание уделяется продвижению вредоносных ресурсов через:

  • Google рекламу, продвигающую поддельные домены, маскирующиеся под официальный портал многофакторной аутентификации Kavach.
  • Вредоносные бэкдоры, включая новые инструменты вроде Limepad, призванные красть учетные данные государственных служащих.

Технический прогресс и расширение инструментов

Инструментарий группы демонстрирует значительный технический прогресс. APT 36 активно использует кроссплатформенные средства, разработанные на Python, Golang и Rust, что позволяет им эффективно атаковать как Windows-, так и Linux-системы. Среди свежих образцов – инструмент на Golang с возможностями фильтрации файлов и удалённого выполнения команд, что свидетельствует о переходе к более сложным и продвинутым вредоносным программам.

Новые вредоносные программы включают:

  • ElizaRAT – обновленная версия шпионского ПО;
  • Poseidon – вредоносное ПО, ориентированное на Linux;
  • Усовершенствованные версии Crimson RAT.

Механизмы доставки и стратегии сокрытия

APT 36 использует разнообразные методы доставки вредоносного кода:

  • Фишинговые письма с вложениями в виде PDF и Office-документов с макросами и OLE-встроенными файлами.
  • Упаковка скомпрометированных двоичных файлов с помощью инструментов типа PyInstaller и архивов VHDX для повышения скрытности.

Для обеспечения устойчивости в среде жертвы злоумышленники применяют:

  • Запланированные задачи и изменение папок автозагрузки;
  • Сценарии входа в систему;
  • Проверку часовых поясов, ограничивающую выполнение вредоносного ПО только устройствами, находящимися в Индии – это снижает риск выявления в других регионах.

Использование легальных сервисов для коммуникации и утечки данных

Одна из характерных особенностей APT 36 – активное применение официальных веб-сервисов, что затрудняет обнаружение и анализ вредоносной активности. Группа использует:

  • Google Drive;
  • Telegram;
  • Discord;
  • Slack.

Эти платформы служат как каналы управления (C2) и передачи украденных данных, что позволяет злоумышленникам оставаться незаметными для традиционных средств защиты.

Заключение

APT 36 продолжает доказывать свою репутацию одной из наиболее технологически оснащенных и методически продвинутых группировок в регионе. Рост сложности инструментов и расширение спектра целей, включая госструктуры и образовательные учреждения Индии, свидетельствуют о постоянном совершенствовании угрозы. Для организаций, работающих в потенциально уязвимых секторах, крайне важна повышенная готовность к отражению таких многоаспектных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT 36: Современные стратегии кибершпионажа и расширение угроз".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.