Daha önce bilinmeyen bir bilgisayar korsanlığı grubu, “suçlayıcı dijital kanıtlar” yerleştirmek amacıyla Hindistan genelinde insan hakları aktivistlerine, insan hakları savunucularına, akademisyenlere ve avukatlara yönelik hedefli saldırılarla bağlantılıydı.
Siber güvenlik firması SentinelOne, izinsiz girişleri izlediği bir gruba bağladı: “ModifiyeFil,” en az 2012’den beri faaliyet gösteren ve faaliyetleri Hindistan devlet çıkarlarıyla keskin bir şekilde örtüşen zor bir tehdit aktörü.
Araştırmacılar, “ModifiedElephant, ticari olarak satılan uzaktan erişim truva atlarını (RAT’ler) kullanarak çalışır ve ticari gözetim endüstrisiyle potansiyel bağları vardır.” söz konusu. “Tehdit aktörü, kötü amaçlı yazılımları teslim etmek için kötü amaçlı belgelerle hedefli kimlik avı kullanır NetWire, DarkCometve basit tuş kaydediciler.”
ModifiedElephant’ın birincil amacı, hedeflenen bireylerin uzun vadeli gözetimini kolaylaştırmak ve sonuçta, savunmasız muhalifleri çerçevelemek ve hapsetmek amacıyla kurbanların güvenliği ihlal edilmiş sistemleri hakkında “kanıt” sağlanmasına yol açmaktır.
Dikkate değer hedefler ile ilişkili bireyleri içerir. 2018 Bhima Koregaon şiddeti Hindistan’ın Maharashtra eyaletinde, SentinelOne araştırmacıları Tom Hegel ve Juan Andres Guerrero-Saade bir raporda söyledi.
Saldırı zincirleri, aktivizm, iklim değişikliği ve siyasetle ilgili konular etrafında temalı ve kötü niyetli Microsoft Office belge ekleri veya harici olarak barındırılan dosyalara bağlantılar içeren hedef odaklı kimlik avı e-postalarını kullanarak – bazıları tek bir günde birden çok kez – hedeflere bulaşmayı içerir. kurban makinelerin kontrolünü ele geçirebilen kötü amaçlı yazılımlarla silahlandırılmıştır.
Araştırmacılar, “Kimlik avı e-postaları, meşruiyet görünümü elde etmek için birçok yaklaşım gerektiriyor” dedi. “Bu, uzun alıcı listeleri içeren bir yönlendirme geçmişine sahip sahte gövde içeriğini, birçok sahte hesap içeren orijinal e-posta alıcı listelerini veya yeni e-postalar veya çekici belgeler kullanarak kötü amaçlı yazılımlarını birden çok kez yeniden göndermeyi içerir.”
Kimlik avı e-postaları kullanılarak dağıtılan, saldırganların SMS’i ele geçirmesine ve yönetmesine ve verileri aramasına, cihazı silmesine veya kilidini açmasına, ağ isteklerini gerçekleştirmesine ve virüslü cihazları uzaktan yönetmesine olanak tanıyan, Android’i hedefleyen tanımlanamayan bir meta truva atıdır. SentinelOne, onu “ideal düşük maliyetli mobil gözetim araç takımı” olarak nitelendirdi.
Araştırmacılar, “Bu aktör, sınırlı operasyon kapsamları, araçlarının sıradan doğası ve bölgesel olarak spesifik hedeflemeleri nedeniyle araştırmaların dikkatinden ve tespitinden kaçınarak yıllardır faaliyet gösteriyor” dedi.