Transparent Tribe (APT36) znów atakuje – nowa kampania RAT wymierzona w Indie

Złośliwe skróty LNK podszywające się pod pliki PDF umożliwiają cichą, długoterminową infiltrację indyjskich instytucji rządowych i akademickich.

Grupa APT36 (Transparent Tribe) prowadzi nową falę cyber-szpiegostwa przeciwko indyjskim instytucjom rządowym i akademickim. Ataki bazują na złośliwych skrótach LNK podszywających się pod pliki PDF, dystrybuowanych w kampaniach spear-phishingowych.

Po otwarciu pliku uruchamiany jest mshta.exe, który ładuje malware bezpośrednio w pamięci i równolegle wyświetla prawdziwy dokument PDF – infekcja pozostaje niewidoczna dla użytkownika.

Co wyróżnia kampanię?

  • fileless RAT uruchamiany z HTA,
  • pełna kontrola nad systemem (C2, eksfiltracja danych, screenshoty),
  • infrastruktura gotowa do ponownej aktywacji w dowolnym momencie.

W osobnej kampanii APT36 używa fałszywych rządowych PDF-ów do instalacji loaderów .NET i utrzymania dostępu przez rejestr Windows.

Źródło:
The Hacker News

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps