Содержание:
- Введение
- Ключевые цели
- Затронутые отрасли
- Географический фокус
- Цепочка заражения.
- Первоначальные результаты
- Взгляд в документ-приманку
- Технический анализ
- Этап 1 — Вредоносный ISO-файл
- Этап 2 – Вредоносный LNK-файл
- Этап 3 – Финальная полезная нагрузка: FALSECUB
- Инфраструктура и атрибуция
- Заключение
- SEQRITE Защита.
- МНК
- MITRE ATT&CK.
- Авторы
Введение
SEQRITE Команда Labs APT Team анализирует угрозы в разных регионах и недавно начала отслеживать группу злоумышленников, нацеленную на сотрудников афганского правительства. Злоумышленники используют поддельные приманки, имитирующие официальные правительственные документы, для атак на министерства и административные учреждения. В этом блоге мы объясняем полную цепочку заражения, использованную в этой кампании, а также оперативные ошибки в области безопасности, допущенные злоумышленниками. Мы также подчеркиваем, как злоумышленник уделил внимание мелким деталям в документе, заставив его выглядеть как подлинное уведомление афганского правительства.
Анализ этой операции разделен на три части. Во-первых, мы сосредоточимся на понимании самого документа-приманки, а затем проанализируем технические детали ISO-образа, содержащего LNK-файл, который используется для выполнения конечной полезной нагрузки. Исполняемая полезная нагрузка переименована таким образом, чтобы выглядеть как файл изображения, скрывая свою вредоносную природу. Наконец, мы также рассмотрим ошибки в инфраструктуре и операционной безопасности, которые привели к обнаружению злоумышленника.
Ключевые цели
Затронутые отрасли
- Организации государственного сектора
Географический фокус
- Афганистан
Цепочка заражения
Первоначальные результаты
Первоначально, 23 декабря, мы обнаружили образец с помощью собственной телеметрии. Позже, 24 декабря, мы обнаружили тот же образец на платформе для анализа вредоносного ПО VirusTotal. Образец был загружен по ссылке на GitHub, сокращенной с помощью TinyURL, а имя файла было Afghanistan Islami Emirates.iso.
ISO-файл содержит три файла. LNK-файл, Doc.pdf.lnk, отвечает за отображение PDF-файла жертве и выполнение полезной нагрузки. PDF-файл, doc.pdf, содержит приманку на правительственную тематику. Последняя полезная нагрузка представляет собой исполняемый файл на C++, который мы проанализируем в следующих разделах. А теперь давайте рассмотрим документ-приманку.
Взгляд в документ-приманку
Изучив поддельный документ, мы обнаружили, что он выглядит как официальное правительственное письмо, изданное канцелярией премьер-министра Афганистана. Документ написан на пушту и использует надлежащий правительственный формат, такой как официальные логотипы, даты, ссылочные номера и формальный язык.
В заголовке поддельного документа утверждается, что он выпущен Исламским Эмиратом Афганистан, а именно Административным офисом премьер-министра и его Управлением по документации и коммуникациям.
Документ начинается с религиозной вступительной фразы и формально обращается к уважаемым министерствам и административным органам. Основное содержание документа включает официальные инструкции, касающиеся финансовых отчетов, и устанавливает четкий срок, что создает ощущение срочности и оказывает давление на жертву, в данном случае, как мы полагаем, на правительственных чиновников Исламских Эмиратов Афганистана. Документ заканчивается блоком подписей, в котором указано имя высокопоставленного чиновника из канцелярии премьер-министра, что призвано завоевать доверие пострадавших.
В следующем разделе мы перейдем к техническому анализу вредоносного ПО второго этапа, сосредоточившись на файле LNK и на том, как он выполняет финальную полезную нагрузку, названную img.jpg, которая фактически является исполняемым файлом.
Технический анализ
Мы решили разделить технический анализ и перспективы кампании на три части. Первая часть посвящена вредоносному файлу на основе контейнера, которым является ISO-файл. Затем мы рассмотрим вредоносный файл-ярлык (.LNK), и, наконец, рассмотрим вредоносный имплант, который мы назвали FALSECUB.
Этап 1: Вредоносный ISO-файл
Мы идентифицировали исходный образец, известный как افغانستان اسلامی امارت.iso, который после перевода оказался AfghanistanIslamiEmirates.iso. Мы предполагаем, что злоумышленник использовал файл первоначального доступа на основе ISO-образа для обхода распространенных средств защиты электронной почты и конечных устройств, поскольку Windows монтирует ISO-файлы как виртуальные диски, что часто предотвращает наследование ограничений Mark-of-the-Web встроенными вредоносными программами.
В результате дальнейшего извлечения содержимого ISO-файла мы обнаружили три файла: первый — это файл-приманка, который мы анализировали в предыдущем разделе, и два других файла — один из них является вредоносным файлом ярлыка, а другой — вредоносным имплантом FALSECUB с поддельным расширением .jpg.
Этап 2: Вредоносный LNK-файл
На следующем этапе, изучив файл Doc.pdf.lnk, мы обнаружили, что он используется для запуска вредоносной программы FALSECUB.
Сначала программа открывает поддельный документ на экране целевого устройства, а затем выполняет ряд интересных задач, таких как копирование содержимого файла img.jpg из одной директории в другую, расположенную по адресу C:\\ProgramData\\.
Затем, после копирования файла, используется команда mklink для создания жесткой ссылки в папке автозагрузки под именем searchmgr.exe, чтобы при каждой загрузке целевой системы вредоносная программа подключалась к серверу управления и контроля злоумышленника. Далее, после создания системы обеспечения постоянного присутствия, с помощью команды start, вредоносная программа успешно запускается.
Таким образом, цель этого LNK-файла — открыть PDF-файл-приманку, обеспечить постоянное присутствие при запуске системы путем создания жесткой ссылки, а затем выполнить имплант. В следующем разделе мы рассмотрим имплант FALSECUB.
Этап 3 – Финальная полезная нагрузка: FALSECUB
Наконец, загрузив файл img.pngon в инструмент первоначального анализа, мы обнаружили, что это двоичный файл, написанный на C++, с меткой времени 11-12-2025. Это еще раз подтверждает, что файл, содержащийся в вредоносном ISO-образе, является исполняемым файлом, который мы классифицируем как вредоносное ПО FALSECUB.
Затем, начав анализ внутреннего содержимого вредоносного ПО, мы обнаружили, что код содержит элементы, препятствующие проведению анализа.
Изучив внутреннюю структуру функции, мы обнаружили, что она использует определенные API, такие как GetTickCount64, для определения того, отлаживается ли образец, выполняется ли он или, по сути, работает в среде анализа, а также другой API, такой как GlobalMemoryStatusEx, который проверяет общий объем физической памяти, доступной на целевой машине, и в случае, если он работает в среде анализа, поскольку обычно среда анализа не располагает достаточным объемом физической памяти по сравнению с основной машиной. Наконец, она также использует API IsDebuggerPresent для проверки того, отлаживается ли вредоносное ПО на целевой машине.
Итак, после подтверждения результатов проверок выяснилось, что существует несколько API-интерфейсов для режима сна с определенным временным интервалом, которые переводят вредоносную программу в спящий режим или останавливают ее работу перед завершением деятельности.
Кроме того, после выполнения части вредоносной программы, направленной на противодействие анализу, она подключается к системе управления и контроля, по сути, заполняя адрес C2 внутри функции.
Кроме того, как только адрес C2 будет заполнен, он подключается к серверу; если соединение с сервером не устанавливается, он просто завершает работу.
Затем, в следующей части этого кода, если центр управления и контроля (C2) работает, он получает команды от злоумышленника и выполняет определенные задачи; команды, которые получает этот имплант, имеют определенные числовые идентификаторы.
Первая особенность в плане перечисления заключается в том, что этот имплант перечисляет имя пользователя целевого компьютера и имя целевого компьютера, используя такие API, как GetUserNameW и GetComputerNameW. Кроме того, он также перечисляет версию Windows целевого компьютера.
Далее, переходя ко второй функции, вредоносная программа перечисляет все возможные диски, используя API-интерфейс GetDriveTypeW.
Кроме того, после сбора указанных выше данных используется функция из библиотеки C++ под названием _beginthreadex, где переменная StartAddress, по сути, содержит код для извлечения собранных данных.
Вредоносная программа осуществляет утечку данных, создавая команду curl в несколько этапов. Сначала она выполняет команду в тихом режиме, чтобы скрыть любой вывод, а затем добавляет несколько пользовательских HTTP-заголовков. Эти заголовки используются для отправки данных аутентификации и основной информации о жертве, такой как жестко закодированный ключ доступа, имя текущего пользователя, имя компьютера и закодированное в base64 значение, относящееся к целевому файлу.
После установки заголовков вредоносная программа добавляет опцию –data-binary, которая напрямую указывает на файл на диске, позволяя загружать необработанные данные файла на удаленную конечную точку /upload/, работающую на нестандартном порту. Затем выполненная команда запускается с помощью CreateProcessW с флагом CREATE_NO_WINDOW, поэтому она выполняется в фоновом режиме, без отображения консоли. После завершения выполнения вредоносная программа очищает дескрипторы процессов и временные буферы, чтобы уменьшить количество следов в системе.
Итак, рассмотрим следующую особенность этого вредоносного ПО: оно перечисляет все файлы и содержимое в папке «Рабочий стол», а также в папке «Документы», и извлекает их, используя описанный выше механизм эксфильтрации.
И, наконец, получив команду на завершение работы, вредоносная программа переходит к заключительному этапу, завершая свою деятельность и используя команду closesocket для выхода из системы.
Таким образом, на этом завершается описание технических возможностей данного имплантата. В следующем разделе мы рассмотрим детали инфраструктуры и арсенал угроз.
Инфраструктура и атрибуция
В ходе анализа мы обнаружили, что вредоносная программа пытается подключиться к нескольким IP-адресам и доменам.
Один из IP-адресов — 104[.]18[.]38[.]233, который принадлежит Cloudflare.
Ещё один IP-адрес, к которому пытается подключиться имплант FALSECUB, — 207[.]244[.]230[.]94. Дальнейший анализ FOFA показал, что на этом IP-адресе запущена служба протокола удалённого рабочего стола (RDP) на порту 3389. Исходя из этого наблюдения, возможно, что этот IP-адрес используется для взаимодействия с машиной жертвы или доступа к ней.
Кроме того, домен theepad0loc93x.ddns.net размещен на службе динамического DNS, что позволяет злоумышленнику изменять базовый IP-адрес, сохраняя при этом активное доменное имя.
Вредоносная инфраструктура размещена в сетях AS 40021 и AS 13335 под управлением организаций CONTABO и CLOUDFLARENET.
В ходе расследования деятельности организаторов этой мошеннической кампании мы обнаружили аккаунт на GitHub, с которого был сброшен образец кода.
Учетная запись GitHub называется afghanking777000 и была создана 23 декабря. Судя по нашим наблюдениям, эта учетная запись, по всей видимости, использовалась злоумышленником в качестве платформы для распространения вредоносного ПО, и после завершения операции полезная нагрузка была удалена из репозитория.
Проследив за именем злоумышленника, мы обнаружили, что организация, стоящая за этой кампанией, по всей видимости, провела обширное исследование афганского правительства и видных деятелей, связанных с талибами.
Мы обнаружили множество юридических и административных документов, размещенных этим злоумышленником на платформе социальных сетей Scribd, включая директивы правительства Афганистана, сообщения Министерства обороны, а также документы США, касающиеся предоставления убежища и прав человека, в которых упоминается Афганистан. Возможно, этот злоумышленник использует эти документы в качестве приманки в своих кампаниях.
Были обнаружены новые аккаунты в Pinterest и Dailymotion с именем пользователя «afghan Khan», и, что интересно, один из них связан с местоположением в Пакистане. Телеметрия VirusTotal показывает, что первоначальный сокращенный URL-адрес был загружен из Пакистана и перенаправлял на скрытый репозиторий GitHub злоумышленника. Последний раз аккаунт в Pinterest был замечен 14 мая 2025 года.
По всей видимости, кампания проводится регионально ориентированным субъектом угроз с низким или средним уровнем подготовки. Повторное использование учетных записей является ошибкой в области операционной безопасности, что указывает на то, что это отдельный оператор или небольшая группа, а не зрелая APT-группировка, спонсируемая государством.
Заключение
SEQRITE Команда APT выявила отслеживаемую кампанию, которая... Кочевой леопард Цель этой кампании — Афганистан, и мы также полагаем, что она может быть направлена и на другие страны. Злоумышленник использует легитимные платформы, такие как GitHub, для размещения и распространения вредоносных файлов. Судя по активности в социальных сетях, злоумышленник не отличается высокой изощренностью, но обладает множеством документов, используемых в качестве приманки, связанных с законом и правительством, которые, по нашему мнению, могут быть использованы в будущих кампаниях.
SEQRITE Protection
Trojan.Agentb
Lnk.Trojan.50326.GC
Lnk.Trojan.50327.SL
Lnk.Trojan.50326.GC
МНК
| Хеш (SHA-256) | Тип вредоносного ПО |
| f817f65edbc77f7bbdd6e4f469e82c0e770b7e221bdb348f366a475a8a39242b | EXE-файл |
| 63f6c85fc16b346cc3f18da9380aee6ffbb3e735863e2e8f118f38737e0d1348 | ISO файла |
| 6c8936fea2fe9cbbcc6135941ac5fb6ea7819530a0914d8c0f39a015c0f2055d | Файл LNK |
| 5838c834482fb54f8a642d92e4ece7bbde03e161c2d02c4e70edbe05c8190955 | Файл PDF |
| Хост/IP-адреса | |
| 104 [.] 18 [.] 38 [.] 233 | |
| 207 [.] 244 [.] 230 [.] 94 | |
| theepad0loc93x[.]ddns[.]net | |
| hxxps://tinyurl.com/3hjb6f95 | |
| hxxps://raw.githubusercontent[.]com/afghanking777000/-/refs/heads/main/Afghanistan%20Islami%20Emirates.iso | |
MITRE ATT & CK
| тактика | Идентификатор техники | Название техники |
| Первоначальный доступ | T1566.001 | Фишинг: Целевое фишинговое вложение |
| T1204.002 | Пользовательское выполнение: вредоносный файл | |
| Уклонение от защиты | T1553.005 | Подрыв механизмов контроля доверия: обход защиты с помощью «метки сети» (Mark-of-the-Web). |
| T1070.004 | Удаление индикатора на хосте: удаление файла | |
| T1497.001 | Обход песочницы: системные проверки | |
| Типы | T1059.003 | Интерпретатор команд и сценариев: командная оболочка Windows |
| T1204.002 | Выполнение пользователем вредоносного ярлыка | |
| Настойчивость | T1547.001 | Выполнение автозапуска при входе в систему: папка автозагрузки |
| Дискавери | T1082 | Обнаружение системной информации |
| T1033 | Обнаружение владельца системы/пользователя | |
| T1083 | Обнаружение файлов и каталогов | |
| T1086 | Перечисление дисков | |
| Управление и контроль | T1071.001 | Протокол прикладного уровня: веб-протоколы |
| T1573 | Зашифрованный канал (через HTTPS / загрузку с помощью curl) | |
| эксфильтрации | T1041 | Эксфильтрация через канал C2 |
| T1020 | Автоматическая эксфильтрация | |
| Влияние | T1485 | Уничтожение данных |
Авторы
Сатвик Рам Пракки
Прия Патель
