Дослідники Seqrite Labs оприлюднили подробиці цільової фішингової кампанії, спрямованої проти Міністерства фінансів Афганістану, провінційних фінансових управлінь і державних службовців, які розмовляють пушту. За даними дослідників, за атакою ймовірно стоїть пакистанське угруповання SideCopy, яке використовує троян віддаленого доступу Xeno RAT версії 1.8.7 з відкритим вихідним кодом. Кампанія отримала кодову назву Operation XENOFISCAL. Організаціям державного сектору Афганістану та Південної Азії слід негайно перевірити інфраструктуру на ознаки компрометації та посилити фільтрацію вхідних вкладень.
Ланцюжок зараження: від ZIP-архіву до повного контролю
Як повідомляє дослідник Seqrite Labs Дікшит Панчал, атака починається з доставки ZIP-архіву, що містить шкідливий ярлик Windows (LNK-файл) з назвою мовою пушту — основною мовою діловодства в афганських державних структурах. Вибір мови свідчить про глибоке розуміння зловмисниками цільового середовища.
Технічний ланцюжок зараження виглядає так:
- Після запуску LNK-файл викликає системну утиліту mshta.exe для завантаження віддаленого HTA-файла (HTML Application) з скомпрометованого домену афганського освітнього закладу.
- HTA-файл виконує обфускований JavaScript-код безпосередньо в пам’яті, мінімізуючи сліди на диску.
- Шкідливе ПЗ закріплюється в системі через реєстр Windows, маскуючись під процес Microsoft Edge.
- За допомогою завантажувача на основі DLL встановлюється Xeno RAT 1.8.7, а користувачу показується документ-приманка, щоб відволікти увагу.
Можливості Xeno RAT
Xeno RAT — це троян віддаленого доступу з відкритим вихідним кодом, який взаємодіє з командним сервером за протоколом TCP. За даними дослідників, версія 1.8.7, виявлена в цій кампанії, має широкий набір можливостей:
- Завантаження й виконання зовнішніх DLL-модулів
- Перехоплення натискань клавіш та знімки екрана
- Моніторинг буфера обміну
- Доступ до вебкамери та мікрофона
- Файлові операції та передавання даних на сервер
- Мережеве тунелювання через SOCKS5-проксі
- Збір інформації про встановлені антивірусні рішення
- Створення запланованих завдань для автозапуску
- Видалення механізмів закріплення та самовидалення
Наявність функції збору даних про антивіруси в поєднанні з SOCKS5-тунелюванням свідчить про те, що оператори цілеспрямовано адаптують тактику до засобів захисту жертви й використовують скомпрометовані хости як проміжні вузли для проксування трафіку.
Контекст загрози: SideCopy та Transparent Tribe
За даними дослідників, SideCopy — це угруповання, ймовірно пов’язане з Пакистаном і таке, що діє в межах ширшої структури Transparent Tribe (також відомої як APT36). Варто зазначити, що така атрибуція ґрунтується на даних одного дослідницького джерела й не підтверджена незалежно.
Кампанію Operation XENOFISCAL розглядають як частину ширшого кластера шкідливої активності, спрямованої проти державних структур Південної Азії. У квітні 2025 року, за повідомленнями, те саме угруповання пов’язували з атаками на різні сектори в Індії із застосуванням Xeno RAT, Spark RAT та CurlBack RAT.
Паралельно з цим з’явилася інформація про окрему фішингову операцію, націлену на індійську військову інфраструктуру. У цій кампанії, за непідтвердженими даними, використовувалися шкідливі файли Linux .desktop, які поширювалися через WhatsApp із приманками на тему закупівель бронетехніки. Ланцюжок зараження призводив до розгортання імплантата на Go, позначеного як DeskRAT. Втім, ці відомості ґрунтуються на єдиній публікації та потребують незалежного підтвердження.
Оцінка впливу
Основна група ризику — державні фінансові установи Афганістану, зокрема Міністерство фінансів, провінційні управління доходів і фінансів, а також окремі чиновники, які працюють із документами мовою пушту. Компрометація фінансових відомств може призвести до витоку бюджетних даних, інформації про міжнародні транзакції та внутрішнього листування.
Використання скомпрометованого домену освітнього закладу як проміжної ланки доставки вказує на те, що інфраструктура афганського освітнього сектору також може бути скомпрометована й потребує аудиту.
Рекомендації щодо захисту
- Блокування виконання mshta.exe через політики AppLocker або Windows Defender Application Control для робочих станцій, де ця утиліта не потрібна для бізнес-процесів.
- Фільтрація вкладень: налаштувати поштові шлюзи на блокування ZIP-архівів, що містять LNK-файли. Це один із найпоширеніших векторів доставки в цільових атаках.
- Моніторинг реєстру: відстежувати створення підозрілих ключів автозапуску, особливо тих, що маскуються під процеси Microsoft Edge.
- Контроль мережевого трафіку: виявляти аномальні TCP-з’єднання та SOCKS5-тунелі, що виходять від робочих станцій, які не повинні ініціювати подібний трафік.
- Аудит запланованих завдань: перевірити наявність нетипових завдань у планувальнику Windows, які Xeno RAT може використовувати для закріплення.
- Навчання персоналу: провести цільовий інструктаж для співробітників фінансових відомств щодо ризиків відкриття ZIP-вкладень із LNK-файлами, особливо отриманих від невідомих відправників.
Організаціям, що працюють у державному секторі Афганістану та Південної Азії, рекомендується в пріоритетному порядку перевірити робочі станції на наявність нетипових HTA-завантажень через mshta.exe, підозрілих ключів реєстру, які імітують Microsoft Edge, та вихідних TCP-з’єднань із ознаками SOCKS5-тунелювання. У разі виявлення будь-якого з цих індикаторів слід ізолювати хост і провести повне розслідування інциденту.
