Chińska grupa APT atakuje Indie. Ma jasny cel

• Atak rozpoczyna się od wiadomości spear phishingowej z załączonym plikiem PDF, który przekierowuje ofiarę na fałszywą stronę indyjskiego urzędu skarbowego.
• China Nexus APT wykorzystuje plik VHDX oraz technikę DLL search order hijacking, aby uruchomić złośliwy kod przy pomocy legalnie wyglądającego programu.
• Ostatecznym ładunkiem jest ValleyRat, czyli trojan zdalnego dostępu pozwalający przejąć kontrolę nad zainfekowanym komputerem.

Według analizy CyberArmor kampania wykorzystuje motyw rzekomej kontroli podatkowej. Atak rozpoczyna się od wiadomości spear phishingowej z załącznikiem PDF o nazwie 2026-0624-03.pdf. Sam dokument nie zawiera złośliwego kodu. Jego zadaniem jest przekierowanie użytkownika na fałszywą stronę internetową podszywającą się pod indyjski urząd skarbowy.

Na stronie ofiara widzi rzekome zawiadomienie dotyczące oceny podatkowej. Następnie jest zachęcana do pobrania archiwum Tax\_Assessment-T.zip. W środku znajduje się plik wirtualnego dysku VHDX, który po otwarciu jest montowany w systemie Windows jako osobny dysk.

To ważny element całego łańcucha ataku. Złośliwe oprogramowanie nie jest dostarczane bezpośrednio w wiadomości e-mail. Atakujący dzielą infekcję na kilka etapów, aby ograniczyć ryzyko wykrycia przez bramki pocztowe i klasyczne skanery załączników.

VHDX i przejęcie kolejności ładowania bibliotek

Po zamontowaniu pliku VHDX użytkownik widzi trzy pliki: Tax\_Assessment.exe, event.dll oraz event\_original.dll. Na pierwszy rzut oka może to wyglądać jak zestaw dokumentów lub narzędzi potrzebnych do obsługi sprawy podatkowej. W rzeczywistości jest to przygotowany mechanizm infekcji.

Atakujący wykorzystują technikę DLL search order hijacking, znaną również jako DLL sideloading. Polega ona na skłonieniu legalnego lub legalnie wyglądającego programu do załadowania złośliwej biblioteki DLL zamiast tej prawidłowej.

W tym przypadku aplikacja Tax\_Assessment.exe ładuje złośliwy plik event.dll. Ten następnie uruchamia kod malware, a jednocześnie przekazuje część wywołań do oryginalnej biblioteki event\_original.dll. Dzięki temu program może nadal działać pozornie poprawnie, a użytkownik nie widzi od razu, że w tle wykonywany jest złośliwy kod.

Malware działa w pamięci i utrudnia analizę

CyberArmor wskazuje, że loader zastosowany w kampanii korzysta z wielu technik utrudniających wykrycie i analizę. Wśród nich są m.in szyfrowanie ciągów znaków, dynamiczne rozwiązywanie funkcji API, własny algorytm odszyfrowywania ładunku przypominający RC4, wykorzystanie natywnych funkcji systemu Windows oraz wstrzykiwanie kodu do innych procesów.

Złośliwy kod wyodrębnia zaszyfrowany ładunek z pliku wykonywalnego, odszyfrowuje go i uruchamia bezpośrednio w pamięci operacyjnej. To oznacza, że końcowy payload nie musi być zapisywany na dysku w klasycznej formie. Dla systemów bezpieczeństwa opartych głównie na sygnaturach i statycznej analizie plików jest to poważne utrudnienie.

Malware ustanawia również mechanizm trwałości w systemie. Według badaczy kopiuje się do lokalnego katalogu użytkownika i tworzy wpis w rejestrze Windows, który pozwala uruchamiać złośliwy plik po zalogowaniu użytkownika.

ValleyRat jako końcowy ładunek

Ostatecznie na zainfekowanym urządzeniu uruchamiany jest ValleyRat, czyli trojan zdalnego dostępu. Tego typu malware pozwala operatorom na przejęcie kontroli nad komputerem ofiary, wykonywanie poleceń, pobieranie kolejnych modułów i rozszerzanie możliwości ataku już po początkowej infekcji.

Z analizy CyberArmor wynika, że ValleyRat komunikuje się z serwerem dowodzenia i kontroli, z którego może pobierać dodatkowe zaszyfrowane moduły. Są one odszyfrowywane i uruchamiane dynamicznie, również z ograniczeniem liczby plików zapisywanych na dysku.

Modułowa architektura daje atakującym elastyczność. Po uzyskaniu pierwszego dostępu mogą dostarczać kolejne funkcje w zależności od celu operacji. Jednocześnie ograniczają widoczne ślady w systemie, co utrudnia analizę powłamaniową i reakcję zespołów bezpieczeństwa.

Podszycie pod instytucję publiczną zwiększa skuteczność ataku

Kampania pokazuje, jak skuteczne może być połączenie socjotechniki z technikami znanymi z zaawansowanych operacji APT. Temat podatkowy ma wywołać presję i skłonić odbiorcę do działania. Fałszywa strona urzędu ma zwiększyć wiarygodność oszustwa. Plik VHDX i technika DLL hijacking mają utrudnić wykrycie infekcji.

To nie jest prosty phishing z jedną złośliwą fakturą w załączniku. Atakujący prowadzą ofiarę przez kolejne etapy: wiadomość e-mail, dokument PDF, fałszywy portal, archiwum ZIP, dysk VHDX, uruchomienie programu i załadowanie złośliwej biblioteki. Każdy z tych kroków zmniejsza szansę, że cała operacja zostanie zatrzymana na pierwszym etapie.

CyberArmor ocenia, że aktywność jest powiązana z China-nexus APT. Badacze wskazują m.in. na infrastrukturę C2 hostowaną w Chinach, wykorzystanie rodziny malware ValleyRat oraz charakter zastosowanych technik.

Jak organizacje mogą się bronić?

CyberArmor zaleca organizacjom monitorowanie aktywności związanej z montowaniem wirtualnych dysków, w tym plików VHDX. Tego typu zachowanie może być uzasadnione w określonych środowiskach, ale w wielu firmach powinno być traktowane jako sygnał wymagający dodatkowej analizy.

Ważne jest również wykrywanie prób wykorzystania techniki DLL search order hijacking. Zespoły bezpieczeństwa powinny zwracać uwagę na sytuacje, w których aplikacja ładuje bibliotekę DLL z nietypowej lokalizacji albo gdy obok pliku wykonywalnego pojawia się biblioteka podszywająca się pod legalny komponent.

Kolejnym sygnałem ostrzegawczym są scenariusze, w których dokument PDF prowadzi do zewnętrznego pobrania pliku ZIP, obrazu dysku lub pliku wykonywalnego. Takie łańcuchy powinny być analizowane behawioralnie, a nie wyłącznie przez sprawdzanie samego załącznika e-mail.

Organizacje powinny też korzystać z detekcji behawioralnej zdolnej do wykrywania wstrzykiwania kodu do procesów, wykonywania payloadu w pamięci, nietypowych połączeń do infrastruktury C2 oraz nieautoryzowanych zmian w rejestrze systemowym.

Wnioski

Opisana kampania pokazuje, że współczesny phishing coraz częściej wykracza poza proste złośliwe załączniki. Atakujący łączą podszywanie się pod instytucje publiczne z technikami utrudniającymi wykrycie, takimi jak VHDX, DLL hijacking, szyfrowane payloady i wykonywanie kodu w pamięci.

Dla organizacji oznacza to konieczność patrzenia na incydenty szerzej niż tylko przez pryzmat pojedynczego pliku. Podejrzany PDF może być początkiem wieloetapowej infekcji, a legalnie wyglądający program może służyć do uruchomienia złośliwej biblioteki.

Najważniejsze pozostaje połączenie kilku warstw ochrony: edukacji użytkowników, filtrowania poczty, monitorowania nietypowych pobrań, kontroli montowania obrazów dysków, wykrywania DLL hijacking oraz analizy zachowań procesów. W przypadku takich kampanii sama detekcja sygnaturowa może okazać się niewystarczająca.