Кибершпионаж стал важнейшим элементом современной геополитики и международных отношений. Многие государства вкладывают значительные ресурсы в развитие кибервойн и спецопераций в онлайне. Одним из таких игроков считается группа TA397, которая на протяжении последних восьми лет ведет активную шпионскую деятельность в интересах индийского государства. Исследователи и аналитики подтверждают, что именно TA397 стоит за многочисленными атаками на правительственные, дипломатические и оборонные структуры, ориентированные не только на Южную Азию, но и на Европу и другие регионы мира. Поведение и способы работы группы позволяют узнать многое о её целях, тактиках, технологии и регионе происхождения.
TA397 – это постоянно активный актор угроз, который фокусируется на сборе разведывательной информации с помощью кибератак. Ведущие специалисты из Proofpoint в сотрудничестве с исследовательской командой Threatray установили высокую вероятность того, что TA397 действует в интересах Индии, а деятельность группы напрямую связана с разведывательными задачами этого государства. Определяющими характеристиками группировки стали применение сложных методов доставки вредоносного ПО, использование уникальных цифровых отпечатков при взаимодействии с инфраструктурой и четкая привязка к индийскому часовому поясу. На протяжении восьми лет анализировались типичные цели TA397, их методы и технические особенности. Особенно интересен факт, что даже при ежегодных изменениях тактики и инструментов, группа постоянно возвращается к проверенным способам обойти защиту и обеспечивать стабильное проникновение в инфраструктуру жертвы.
В первую очередь атаки проходят через механизм целевых фишинговых рассылок, тщательно замаскированных под официальную переписку дипломатических представительств, органов власти и военных ведомств. Электронные письма TA397 весьма искусно подстраиваются под конкретную тематику, актуальную для жертвы, и часто касаются деликатных вопросов международной политики, военных программ, торговых переговоров и правительственных проектов. Использование в заголовках и теле письма названий посольств Маврикия, Мадагаскара, Южной Кореи и других государств позволяет обмануть адресатов и повысить вероятность взаимодействия с содержимым. Такая тактика раскрывает знание группой реального положения дел и официальных процедур, что делает её атаки более убедительными вопреки ограниченности вредоносных вложений. Интересно, что целью TA397 становятся преимущественно организации, расположенные в Европе и Восточной Азии, особенно имеющие интересы или аффилиации с Китаем, Пакистаном и государствами Индийского субконтинента.
По сообщениям специалистов, группа активно работает с оттенком региональных геополитических конфликтов, пытаясь получить конкурентные преимущества в дипломатии, военной сфере и экономике через кражу секретной информации. Доставка вредоносного кода изначально осуществляется через вложения в электронных письмах или через ссылки на легитимные ресурсы файлового обмена. При этом TA397 часто применяет создание запланированных заданий (scheduled tasks) на машинах жертв для регулярного общения со своими серверами управления. Такой способ не только повышает устойчивость установки, но и позволяет элегантно обходить защитные механизмы современных Endpoint Detection and Response (EDR) систем. Технический анализ показывает, что атакующая группа использует разнообразные файловые форматы для запуска полезной нагрузки, включая необычные варианты, такие как Microsoft Search Connector (MSC), ссылки (LNK), сжатые CHM-файлы и даже базы данных Microsoft Access.
Новые тактические методы позволяют не только доставлять вредоносные объекты, но и эксплуатировать недавно выявленные уязвимости, такие как CVE-2024-43572 (GrimResource), давая возможность удаленного выполнения кода через mmc.exe. Эти инновации свидетельствуют о постоянном стремлении к повышению эффективности атак, несмотря на приоритет отработанных техник. При создании запланированных заданий TA397 стабильно использует командные строки, которые включают вызовы к PowerShell, cmd.exe и инструменты вроде curl и conhost.
exe. Важной особенностью является регулярное отправление параметров зараженной системы, таких как имя компьютера и имя пользователя, на URL с определённым PHP-паттерном. Часто задействуются сертификаты Let's Encrypt для защиты коммуникации, что создает уникальный цифровой отпечаток, позволяющий аналитикам с уверенностью идентифицировать активность TA397. Реальное участие оператора в ходе кампаний обнаруживается через аналитику «hands-on keyboard» — действий, непосредственно выполняемых злоумышленниками вручную после доступления на систему жертвы. Такие события синхронизируются с индийским рабочим графиком и временным поясом IST (UTC+5:30), что подтверждает национальную принадлежность и характер работы команды.
При этом нередко на серверы злоумышленников загружаются документы, полученные в результате кражи данных, включая внутренние документы военного и налогового значения, что усиливает оценку целенаправленного сбора секретной информации. Инфраструктура TA397 охватывает множество доменов и серверов управления, распределенных по всему миру, с доменными регистрациями и TLS-сертификатами, создаваемыми преимущественно в рабочее время по индийскому времени. Это позволяет специалистам выявлять закономерности и активнее блокировать атаки. В числе обнаруженных доменов фигурируют mnemautoregsvc[.]com, jacknwoods[.
]com, utizviewstation[.]com и другие, которые служат для координации и загрузки вредоносных компонентов. Сопоставляя множество индикаторов, таких как шаблоны URL, структуры командных строк, типы и поведение файлов и инфраструктурные особенности, исследователи приходят к выводу о системности и профессионализме TA397, несмотря на относительно «примитивные» методы некоторых ранних кампаний. Постоянные обновления в тактиках и наборах инструментов свидетельствуют о зрелости группы и возможности интеграции с другими индийскими угрозами, такими как Mysterious Elephant (APT-K-47) и Confucius. Это говорит об устойчивой экосистеме обмена ресурсами и разработками внутри разведывательных структур Индии.
Общая картина деятельности TA397 демонстрирует многолетний усердный сбор разведданных с использованием целовых кибератак, которые охватывают политическую, военную и дипломатическую тематику. Фокус на странах региона Южной Азии и расширение на европейские объекты подчёркивает стратегические интересы. Действия группы способствуют анализу государственных решений, выявлению силовых балансов и подготовке информационной базы для принятия политических и военных решений. Противодействие таким группам требует постоянного мониторинга специфических паттернов, применения современных средств киберзащиты и обучения пользователей распознавать сложные фишинговые письма. Знание уникальных признаков TA397 – от шаблонов URL с включёнными переменными имени компьютера и имени пользователя до временного анализа регистрируемых доменов – позволяет специалистам превентивно выявлять попытки компрометации и эффективно блокировать входящие угрозы.
В конце концов, раскрытие многолетней деятельности TA397 служит ярким примером того, как государственные кибершпионские структуры ведут скрытную борьбу за влияние и информацию через цифровое пространство. Сложность и многогранность их деятельности требуют от международного сообщества непрерывного обмена знаниями, координации и развития новых методов защиты, чтобы противостоять все более изощренным угрозам кибербезопасности в глобальном масштабе.
