More

    SideCopy povezan s novim kibernetičkim napadom na Ministarstvo odbrane Indije

    Grupa naprednih persistentnih pretnji (APT) koja ima iskustvo u ciljanju Indije i Afganistana povezana je s novom phishing kampanjom koja pruža Action RAT.

    Prema Cyble-u, koji je operaciju pripisao SideCopy-u, klaster aktivnosti je dizajniran da cilja Organizaciju za istraživanje i razvoj odbrane (DRDO), krilo za istraživanje i razvoj indijskog Ministarstva odbrane.

    Poznat po oponašanju lanaca infekcije povezanih sa SideWinder-om za isporuku vlastitog malicioznog softvera, SideCopy je hakerska grupa pakistanskog porijekla koja dijeli preklapanja sa Transparent Tribe-om. Aktivna je najmanje od 2019. godine.

    Sekvence napada koje je organizovala grupa uključuju korištenje email-ova za krađu identiteta za dobijanje početnog pristupa. Ove poruke dolaze sa ZIP arhivskom datotekom koja sadrži datoteku prečice za Windows (.LNK) koja se maskira kao informacija o balističkoj raketi K-4 koju je razvio DRDO.

    Izvršavanje .LNK datoteke dovodi do preuzimanja HTML aplikacije sa udaljenog servera, koji, zauzvrat, prikazuje prezentaciju mamca, dok u isto vrijeme krišom koristi Action RAT backdoor.

    Maliciozni softver, pored prikupljanja informacija o žrtvi, može pokrenuti komande poslane sa servera za naredbu i kontrolu (C2), uključujući prikupljanje datoteka i izbacivanje naknadnog malvera.

    Takođe je implementovan novi maliciozni softver za krađu informacija nazvan Auto Stealer koji je opremljen za prikupljanje i eksfiltraciju datoteka Microsoft Office-a, PDF dokumenata, baza podataka i tekstualnih datoteka i slika preko HTTP-a ili TCP-a.

    “APT grupa kontinuirano razvija svoje tehnike istovremeno ugrađujući nove alate u svoj arsenal” napomenuo je Cyble.

    Ovo nije prvi put da SideCopy koristi Action RAT u svojim napadima usmjerenim protiv Indije. U decembru 2021. godine, Malwarebytes je otkrio skup upada koji su provalili brojna ministarstva u Afganistanu i zajednički vladin kompjuter u Indiji kako bi ukrali osjetljive kredencijale.

    Najnovija otkrića stižu mjesec dana nakon što je primijećen napad na indijske vladine agencije s trojanskim programom za daljinski pristup pod nazivom ReverseRAT.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories