Группа Mahaca: новая волна кибершпионажа с использованием вредоносных LNK-файлов
Организация Mahaca, также известная как Patchwork или Dropping Elephant, продолжает оставаться одной из наиболее активных и опасных APT-групп, специализирующихся на кибершпионаже. Считается, что эта группа, происходит из Южной Азии и действует как минимум с ноября 2009 года, фокусируясь на сборе информации в правительственном, военном, энергетическом и научном секторах, преимущественно в регионе Азии.
Механизм атаки: вредоносные LNK-файлы и поддельные университетские домены
Недавний отчет Центра анализа угроз Qi’anxin выявил новую кампанию Mahaca, основанную на применении вредоносных LNK-файлов. Основная цель — энергетический сектор. Атакующие используют метод маскировки, создавая вредоносные документы, выдаваемые за учебные материалы, и распространяют их с поддельного университетского домена jlu-edu.org.
- Первый этап атаки: загрузка LNK-файла в формате PDF, замаскированного под легитимный документ.
- Действия вредоносного кода: запуск запускающего загрузчика на базе Rust, именуемого Winver.exe, который маскируется под системную утилиту сбора информации о версиях.
- Функционал загрузчика: скрытная настройка запланированных задач в системе для поддержания присутствия вредоносного ПО.
Основной троянец Protego и этапы коммуникаций с C2
После запуска Winver.exe происходит расшифровка и активация основного вредоносного компонента — троянца на C# под названием Protego. Он выполняет сбор конфиденциальных данных, включая:
- имя хоста;
- пользовательские данные;
- UUID устройства.
Важной особенностью Protego является двухэтапный протокол связи с сервером управления (C2):
- Отправка зашифрованных идентификаторов заражённого устройства.
- Сбор и передача экспортного IP-адреса и прочих собранных данных.
Связь достигает полного функционирования, когда сервер отвечает определённым сообщением, позволяя троянцу получать и исполнять команды дистанционно.
Использование открытых платформ и тактика сокрытия
Кроме собственного троянца, Mahaca использует и сторонние решения с открытым исходным кодом, в частности Quasar RAT, что значительно расширяет возможности группы по сбору разведывательных данных.
Эксперты отмечают, что:
- Единая архитектура троянцев на C# и обширный функционал удаленного управления указывает на зрелую и продуманную тактику.
- Подделка университетских доменов служит для легитимации вредоносных рассылок, значительно усложняя их обнаружение и блокировку.
Рекомендации по безопасности
В условиях повышенной активности APT-групп, таких как Mahaca, эксперты по кибербезопасности настоятельно советуют:
- Проявлять крайнюю осторожность при работе с вложениями и ссылками из неизвестных или подозрительных источников.
- Регулярно обновлять операционные системы и установленное ПО, своевременно применять security patches.
- Создавать резервные копии важных данных для предотвращения потерь в случае атаки.
- Использовать аналитические инструменты для проверки неизвестных приложений и файлов.
Осведомленность и соблюдение базовых правил кибергигиены остаются ключевыми элементами защиты от современных угроз, исходящих от таких хорошо организованных групп, как Mahaca.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ угроз: кибершпионаж группы Mahaca с поддельными университетскими атаками".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.