Исследователи Seqrite Labs раскрыли детали целевой фишинговой кампании, направленной против Министерства финансов Афганистана, провинциальных финансовых управлений и государственных служащих, говорящих на пушту. По данным исследователей, за атакой предположительно стоит пакистанская группировка SideCopy, использующая троян удалённого доступа Xeno RAT версии 1.8.7 с открытым исходным кодом. Кампания получила кодовое название Operation XENOFISCAL. Организациям государственного сектора Афганистана и Южной Азии следует немедленно проверить инфраструктуру на признаки компрометации и усилить фильтрацию входящих вложений.
Цепочка заражения: от ZIP-архива до полного контроля
Как сообщает исследователь Seqrite Labs Дикшит Панчал, атака начинается с доставки ZIP-архива, содержащего вредоносный ярлык Windows (LNK-файл) с названием на языке пушту — основном языке делопроизводства в афганских государственных структурах. Выбор языка указывает на глубокое знание атакующими целевой среды.
Техническая цепочка заражения выстроена следующим образом:
- При запуске LNK-файл вызывает системную утилиту mshta.exe для загрузки удалённого HTA-файла (HTML Application) с скомпрометированного домена афганского образовательного учреждения.
- HTA-файл выполняет обфусцированный JavaScript-код непосредственно в памяти, минимизируя следы на диске.
- Вредоносное ПО закрепляется в системе через реестр Windows, маскируясь под процесс Microsoft Edge.
- С помощью загрузчика на основе DLL устанавливается Xeno RAT 1.8.7, а пользователю отображается документ-приманка для отвлечения внимания.
Возможности Xeno RAT
Xeno RAT — троян удалённого доступа с открытым исходным кодом, взаимодействующий с командным сервером по протоколу TCP. По данным исследователей, версия 1.8.7, обнаруженная в данной кампании, обладает широким набором функций:
- Загрузка и выполнение внешних DLL-модулей
- Перехват нажатий клавиш и снимки экрана
- Мониторинг буфера обмена
- Доступ к веб-камере и микрофону
- Файловые операции и передача данных на сервер
- Сетевое туннелирование через SOCKS5-прокси
- Сбор информации об установленных антивирусных решениях
- Создание запланированных задач для автозапуска
- Удаление механизмов закрепления и самоудаление
Наличие функции сбора данных об антивирусах в сочетании с SOCKS5-туннелированием говорит о том, что операторы целенаправленно адаптируют тактику к защитным средствам жертвы и используют скомпрометированные хосты как промежуточные узлы для проксирования трафика.
Контекст угрозы: SideCopy и Transparent Tribe
По данным исследователей, SideCopy — группировка, предположительно связанная с Пакистаном и действующая в рамках более широкой структуры Transparent Tribe (также известной как APT36). Следует отметить, что эта атрибуция основана на данных одного исследовательского источника и не подтверждена независимо.
Кампания Operation XENOFISCAL рассматривается как часть более широкого кластера вредоносной активности, направленной против государственных структур Южной Азии. В апреле 2025 года, как сообщается, та же группировка была связана с атаками на различные секторы в Индии с использованием Xeno RAT, Spark RAT и CurlBack RAT.
Параллельно с этим появились сведения о отдельной фишинговой операции, нацеленной на индийскую военную инфраструктуру. В этой кампании, по неподтверждённым данным, использовались вредоносные файлы Linux .desktop, распространяемые через WhatsApp с приманками на тему закупок бронетехники. Цепочка заражения приводила к развёртыванию имплантата на Go, обозначенного как DeskRAT. Однако эти данные основаны на единственной публикации и требуют независимого подтверждения.
Оценка воздействия
Основная группа риска — государственные финансовые учреждения Афганистана, включая Министерство финансов, провинциальные управления доходов и финансов, а также отдельных чиновников, работающих с документами на пушту. Компрометация финансовых ведомств может привести к утечке бюджетных данных, информации о международных транзакциях и внутренней переписке.
Использование скомпрометированного домена образовательного учреждения в качестве промежуточного звена доставки указывает на то, что инфраструктура афганского образовательного сектора также может быть скомпрометирована и требует аудита.
Рекомендации по защите
- Блокировка выполнения mshta.exe через политики AppLocker или Windows Defender Application Control для рабочих станций, где данная утилита не требуется для бизнес-процессов.
- Фильтрация вложений: настроить почтовые шлюзы на блокировку ZIP-архивов, содержащих LNK-файлы. Это один из наиболее распространённых векторов доставки в целевых атаках.
- Мониторинг реестра: отслеживать создание подозрительных ключей автозапуска, особенно тех, что маскируются под процессы Microsoft Edge.
- Контроль сетевого трафика: выявлять аномальные TCP-соединения и SOCKS5-туннели, исходящие от рабочих станций, которые не должны инициировать подобный трафик.
- Аудит запланированных задач: проверить наличие нехарактерных задач в планировщике Windows, которые могут использоваться Xeno RAT для закрепления.
- Обучение персонала: провести целевой инструктаж для сотрудников финансовых ведомств о рисках открытия ZIP-вложений с LNK-файлами, особенно полученных от неизвестных отправителей.
Организациям, работающим в государственном секторе Афганистана и Южной Азии, рекомендуется в приоритетном порядке проверить рабочие станции на наличие нетипичных HTA-загрузок через mshta.exe, подозрительных ключей реестра, имитирующих Microsoft Edge, и исходящих TCP-соединений с признаками SOCKS5-туннелирования. При обнаружении любого из этих индикаторов следует изолировать хост и провести полное расследование инцидента.
