Hakeri povezani s hakerskom ekipom poznatom kao Patchwork uočeni su kako ciljaju na univerzitete i istraživačke organizacije u Kini u sklopu nedavno zapažene kampanje.
Aktivnost je, prema KnownSec 404 timu, podrazumijevala korištenje backdoor kodnog imena EyeShell.
Patchwork, poznat i pod nazivima Operation Hangover i Zinc Emerson, sumnja se da je grupa prijetnja koja djeluje u ime Indije. Aktivni najmanje od decembra 2015. godine, lanci napada koje je postavila grupa imaju uski fokus i imaju tendenciju da izdvajaju Pakistan i Kinu sa prilagođenim implantatima kao što je BADNEWS putem phishing-a i napada na vodu.
Utvrđeno je da suprotstavljeni kolektiv dijeli taktička preklapanja s drugim kibernetički-špijunažnim grupama s indijskom vezom, uključujući SideWinder i DoNot tim.
Ranije ovog maja, Meta je otkrila da je uklonila 50 naloga na Facebooku i Instagramu kojima upravlja Patchwork, koji su iskoristili prednosti lažnih aplikacija za razmenu poruka postavljenih u Google Play Store za prikupljanje podataka od žrtava u Pakistanu, Indiji, Bangladešu, Šri Lanki, Tibetu, i Kina.
“Patchwork se oslanjao na niz razrađenih fiktivnih osoba kako bi društveno inžinjerirale ljude da kliknu na maliciozne veze i preuzimaju maliciozne aplikacije”, rekao je gigant društvenih medija.
“Ove aplikacije su sadržavale relativno osnovnu malicioznu funkcionalnost s pristupom korisničkim podacima koji se isključivo oslanjao na legitimne dozvole aplikacije koje je dao krajnji korisnik. Naime, Patchwork je kreirao lažnu web stranicu za pregled aplikacija za chat gdje je naveo pet najboljih aplikacija za komunikaciju, stavljajući svoje, aplikacija koju kontrolišu napadači na vrhu liste.”
Neke od njegovih aktivnosti takođe su prijavljene pod imenom ModifiedElephant, navodi Secureworks, pozivajući se na niz napada na aktiviste za ljudska prava, akademike i advokate širom Indije kako bi sproveli dugoročni nadzor i podmetnuli “inkriminirajuće digitalne dokaze” u vezi sa Nasilje Bhima Koregaon 2018. godine u indijskoj državi Maharaštra.
EyeShell, otkriven zajedno sa BADNEWS, je modularni backdoor baziran na .NET-u koji dolazi sa mogućnostima uspostavljanja kontakta s udaljenim serverom za komandu i kontrolu (C2) i izvršavanje naredbi za nabrajanje datoteka i direktorija, preuzimanje i učitavanje datoteka na i sa host, izvršavanje određene datoteke, brisanje datoteka i snimanje ekrana.
Nalazi dolaze nakon što je kompanija za kibernetičku sigurnost takođe detaljno opisala još jedan val phishing napada koje je organizovala grupa pod nazivom Bitter usmjerenih na svemirska, vojna, velika preduzeća, poslove nacionalne vlade i univerzitete u zemlji s novim backdoorom poznatim kao ORPCBackdoor.
Prethodno je otkriveno da haker iz Južne Azije cilja na industriju nuklearne energije u Kini s programima za preuzimanje malicioznog softvera koji se isporučuju putem CHM-a i Microsoft Excel datoteka koje su dizajnirane da stvaraju postojanost i vraćaju daljnje korisne sadržaje.
Izvor: The Hacker News