Поделиться
Пакистан атакует индийские госструктуры трояном, написанным нейросетью
Пакистанский APT-кластер использует в атаках вредонос, вероятно, созданный ИИ, считают эксперты. Существуют версии как под Linux, так и под Windows. В последнее время наблюдалась повышенная активность Linux-варианта.
Специально для...
Пакистанский (предположительно) кластер угроз в августе-сентябре провёл серию фишинговых атак на правительственные учреждения Индии. В тех случаях, когда атаки завершались успехом, в системы жертв устанавливался вредонос DeskRAT - как явствует из названия, это инструмент для удалённого доступа.
Атаки начинаются с фишинговых писем, содержащих архив ZIP или ссылку на архив, размещённый на легитимном облачном ресурсе. Внутри архива - файл формата .desktop (для Linux-сред), в котором заложены команда на вывод на экран через браузер Firefox файла-«обманки», документа под названием CDS_Directive_Armed_Forces.pdf, и многоступенчатую подгрузку и запуск вредоносного содержимого.
Исследователи фирмы Sekoia утверждают, что атаки осуществляет связанная со спецслужбами Пакистана группа TransparentTribe (APT36).
Цепочка заражений специально адаптирована под операционные системы BOSS (Bharat Operating System Solutions), Linux-дериватив, который продвигается в Индии на правительственном уровне.
Исследователи компании Sekoia отметили некоторые странности. Системы BOSS основаны на дистрибутивах Debian и запуску .desktop-файла предшествует предупреждение о том, что файл является исполняемым.
Более того, в коде вредоносного дроппера содержится команда xxd, и она носит критически важный характер для всей цепочки заражения. Однако по умолчанию эта команда в дистрибутиве BOSS отсутствует - в отличие от многих других.
«Такое техническое решение трудно понять, особенно учитывая, что остальные звенья цепочки полагаются целиком на встроенные Linux-команды - eval, echo и другие», - указывается в публикации Sekoia.
Вредонос DeskRAT мог быть написан при помощи LLM-модели: об этом свидетельствуют чрезвычайно однообразные наименования функций, которые указывают на то, что искусственному интеллекту просто дали инструкции «Перечисли методы уклонения от обнаружения под Linux и реализуй их на языке GOLANG».
В результате в коде содержится длинный список функций, которые последовательно вызываются кодом вредоноса, иногда по нескольку раз.
«Хотя все эти функции выполняют именно те действия, на которые указывают их названия, когда они вычисляют или модифицируют данные, те не используются программой», - пишут исследователи, добавляя, что хотя ряд функций содержит в названиях слова advanced и sophisticated (соотв. «продвинутый» и «изощрённый»), на деле никакой продвинутости или изощрённости они не демонстрируют.
«Учитывая, что довольно большое количество кода в современном мире уже пишется при помощи LLM-систем - т.е. искусственного интеллекта, - нет ничего удивительного, что и специализированный вредоносный софт также создаётся с их помощью, - говорит Александр Каушанский, генеральный директор ГК «Программный Продукт». - Нельзя исключать и того, что конкретно эта вредоносная программа создавалась для вполне определённых, уже разведанных в той или иной степени, систем. Этим же может объясняться включение в код команды, поддержка которой в целевых дистрибутивах по умолчанию отсутствует, но может иметь место быть в системах, непосредственно подвергающихся атакам».
Все возможные способы
DeskRAT использует сразу четыре разных метода для обеспечения устойчивости присутствия в системе: создаёт службу systemd, задачу в планировщике cron, вписывает себя в каталог автозапуске и эксплуатирует .bashrc для запуска троянца через шелл-скрипт, сохраняемый в каталог .config/system-backup.
Что касается вредоносной активности, то DeskRAT поддерживает только пять команд - ping, heartbeat, browse_files, start_collection и upload_execute. Первые две - это обмен базовыми данными с управляющими серверами, две следующие - это операции с файлами (причём только определённых форматов и размером менее 100 мегабайт), а последняя - это докачивание и запуск дополнительных вредоносных компонентов.
Контрольные серверы отмечены как скрытые: они не фигурируют в публичных NS-записях о домене, в котором располагаются.
Ранее исследователи QiAnXin XLab описывали аналогичную кампанию, нацеленную на среды Windows, которую в XLab окрестили StealthServer. По всей видимости, за ней также стоит TransparentTribe.
Исследователи XLab идентифицировали сразу три варианта вредоносов под Windows, которые им удалось наблюдать в июле-августе 2025 года. Друг от друга они отличались, в основном, средствами обнаружения отладчиков и каналами для обеспечения связи с контрольными серверами (TCP, WebSocket).
В XLab также смогли перехватить и Linux-варианты StealthServer. Судя по всему, они представляли собой ранние версии DeskRAT.
Поделиться
Короткая ссылка
