Grupa naprednih persistentnih pretnji (APT) koja ima iskustvo u ciljanju Indije i Afganistana povezana je s novom phishing kampanjom koja pruža Action RAT.
Prema Cyble-u, koji je operaciju pripisao SideCopy-u, klaster aktivnosti je dizajniran da cilja Organizaciju za istraživanje i razvoj odbrane (DRDO), krilo za istraživanje i razvoj indijskog Ministarstva odbrane.
Poznat po oponašanju lanaca infekcije povezanih sa SideWinder-om za isporuku vlastitog malicioznog softvera, SideCopy je hakerska grupa pakistanskog porijekla koja dijeli preklapanja sa Transparent Tribe-om. Aktivna je najmanje od 2019. godine.
Sekvence napada koje je organizovala grupa uključuju korištenje email-ova za krađu identiteta za dobijanje početnog pristupa. Ove poruke dolaze sa ZIP arhivskom datotekom koja sadrži datoteku prečice za Windows (.LNK) koja se maskira kao informacija o balističkoj raketi K-4 koju je razvio DRDO.
Izvršavanje .LNK datoteke dovodi do preuzimanja HTML aplikacije sa udaljenog servera, koji, zauzvrat, prikazuje prezentaciju mamca, dok u isto vrijeme krišom koristi Action RAT backdoor.
Maliciozni softver, pored prikupljanja informacija o žrtvi, može pokrenuti komande poslane sa servera za naredbu i kontrolu (C2), uključujući prikupljanje datoteka i izbacivanje naknadnog malvera.
Takođe je implementovan novi maliciozni softver za krađu informacija nazvan Auto Stealer koji je opremljen za prikupljanje i eksfiltraciju datoteka Microsoft Office-a, PDF dokumenata, baza podataka i tekstualnih datoteka i slika preko HTTP-a ili TCP-a.
“APT grupa kontinuirano razvija svoje tehnike istovremeno ugrađujući nove alate u svoj arsenal” napomenuo je Cyble.
Ovo nije prvi put da SideCopy koristi Action RAT u svojim napadima usmjerenim protiv Indije. U decembru 2021. godine, Malwarebytes je otkrio skup upada koji su provalili brojna ministarstva u Afganistanu i zajednički vladin kompjuter u Indiji kako bi ukrali osjetljive kredencijale.
Najnovija otkrića stižu mjesec dana nakon što je primijećen napad na indijske vladine agencije s trojanskim programom za daljinski pristup pod nazivom ReverseRAT.
Izvor: The Hacker News