Фейковый пресс-релиз Минобороны Индии заразил компьютеры новым трояном DRAT V2

Хакеры из группировки TAG-140, связанной с пакистанским SideCopy, провели дерзкую атаку на индийские госструктуры и предприятия, распространив поддельный сайт Минобороны Индии с «официальными» пресс-релизами. Эксперты Recorded Future * сообщили, что жертвам предлагали запустить команду из «пресс-релиза», которая в итоге устанавливала обновлённый троян DRAT V2.

Атака начиналась с схемы ClickFix: жертва переходила на фальшивый сайт, где вручную запускала предложенную команду. Эта команда загружала HTA-файл с домена trade4wealth[.]in, который через mshta.exe устанавливал модуль BroaderAspect для закрепления в системе, а затем — сам троян DRAT V2.

Новая версия DRAT научилась лучше скрывать свои сервера управления, шифруя IP-адреса в Base64, и стала более гибкой в общении с C2-серверами: она принимает команды в ASCII и Unicode, но отвечает только в ASCII. При этом часть команд теперь передаётся в открытом виде, что упрощает обнаружение трояна, но повышает его стабильность при выполнении операций.

TAG-140 активно атакует не только военные и государственные структуры, но и железнодорожные, нефтегазовые компании и дипломатические ведомства Индии. Эксперты отмечают: развитие DRAT V2 — это планомерное наращивание потенциала группировки, позволяющее дольше оставаться незаметной и адаптироваться к новым целям.

* Recorded Future признана нежелательной организацией в России.