Авторы
Введение
Mysterious Elephant — это активная APT-группа, которую эксперты глобального центра исследования и анализа угроз (GReAT) «Лаборатории Касперского» обнаружили в 2023 году. Она постоянно развивает и адаптирует свои тактики, техники и процедуры (TTP), чтобы оставаться незамеченной. Основной целью атакующих являются правительственные организации и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Для проникновения в эти организации и эксфильтрации конфиденциальной информации группа использует широкий спектр сложных инструментов и методов. В частности, Mysterious Elephant сконцентрировалась на краже конфиденциальных данных, пересылаемых через WhatsApp, в том числе документов, изображений и архивов.
Последняя кампания, которая проводилась с начала 2025 года, демонстрирует серьезный пересмотр TTP группы: теперь основной акцент делается на использовании новых специально разработанных инструментов, а также модифицированных утилит с открытым исходным кодом, включая модули BabShell и MemLoader. В этом отчете мы рассмотрим историю атак группы Mysterious Elephant и ее актуальные тактики и техники, а также всесторонне проанализируем характер этой угрозы.
Появление Mysterious Elephant
Мы отслеживаем деятельность группы Mysterious Elephant с 2023 года. Изначально ее операции напоминали атаки группы Confucius. Однако дальнейший анализ выявил более сложную картину. Мы обнаружили, что вредоносное ПО Mysterious Elephant содержало код, разработанный несколькими APT-группами, включая Origami Elephant, Confucius и SideWinder, что указывает на тесное сотрудничество и обмен ресурсами между группами. При этом, согласно нашим исследованиям, инструменты и код, заимствованные у вышеупомянутых APT-групп, со временем перестали использоваться их оригинальными разработчиками или были заменены более современными версиями. Однако Mysterious Elephant не только переняла эти инструменты, но и продолжила поддерживать, развивать и улучшать их, используя их код в своих операциях и создавая новые, усовершенствованные версии. Ранние цепочки атак этой группы включали такие элементы, как удаленная инъекция шаблона и эксплуатация уязвимости CVE-2017-11882, после чего применялся загрузчик под названием Vtyrei. Ранее этот загрузчик использовала группа Origami Elephant, но впоследствии забросила его. Mysterious Elephant продолжала совершенствовать свои инструменты и расширять деятельность, в итоге получив статус отдельной, ранее не идентифицированной группы.
Новая кампания
Последняя кампания группы, обнаруженная в начале 2025 года, свидетельствует о значительном изменении ее TTP. Для получения первоначального доступа к своим целям злоумышленники теперь используют комбинацию из набора эксплойтов, фишинговых писем и вредоносных документов. Проникнув в систему, они задействуют ряд специально разработанных инструментов и утилит с открытым исходным кодом. В следующих разделах мы рассмотрим актуальные характеристики кампаний Mysterious Elephant, включая их тактики и техники, новые инструменты, инфраструктуру и подход к выбору жертв.
Целевой фишинг
Группа Mysterious Elephant начала применять целевой фишинг для получения первоначального доступа. Фишинговые письма составляются индивидуально для каждой жертвы и убедительно имитируют легитимную корреспонденцию. Основными целями этой APT-группы являются страны Южной Азии, в частности Пакистан. Примечательно, что группа проявляет особый интерес к дипломатическим учреждениям, что отражается как в темах целевых фишинговых писем, так и во вложениях-приманках.
