Hindistan devlet kurumları ve savunma sektörü, istihbarat toplamak amacıyla Rust tabanlı kötü amaçlı yazılımları ortadan kaldırmak üzere tasarlanmış bir kimlik avı kampanyasının hedefi oldu.
İlk olarak Ekim 2023’te tespit edilen aktiviteye kod adı verildi. RusticWeb Operasyonu kurumsal güvenlik firması SEQRITE tarafından.
Güvenlik araştırmacısı Sathwik Ram Prakki, “Gizli belgeleri özel bir komut ve kontrol (C2) sunucusu yerine web tabanlı bir hizmet motoruna sızdırmak için yeni Rust tabanlı veriler ve şifrelenmiş PowerShell komutları kullanıldı.” söz konusu.
Küme ile her ikisinin de Pakistan ile bağlantılı olduğu değerlendirilen Transparent Tribe ve SideCopy takma adları altında geniş çapta takip edilenler arasında taktiksel örtüşmeler ortaya çıkarıldı.
SideCopy’nin aynı zamanda Transparent Tribe içinde şüpheli bir alt unsur olduğu da belirtiliyor. Geçen ay SEQRITE, tehdit aktörünün AllaKore RAT, Ares RAT ve DRat gibi çok sayıda truva atı yaymak için Hindistan hükümet kurumlarını hedef alan çok sayıda kampanyasını ayrıntılarıyla anlattı.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
ThreatMon tarafından belgelenen diğer yeni saldırı zincirleri de kullanıldı Microsoft PowerPoint dosyalarının tuzağına düşmek birlikte özel hazırlanmış RAR arşivleri Kötü amaçlı yazılım dağıtımına yönelik CVE-2023-38831’e duyarlı olup, dizginsiz uzaktan erişim ve kontrol sağlar.
ThreatMon, “SideCopy APT Group’un enfeksiyon zinciri, her biri başarılı bir uzlaşma sağlamak için dikkatlice düzenlenen birden fazla adımdan oluşuyor.” kayıt edilmiş bu senenin başlarında.
En son saldırı dizisi, kimlik avı e-postasıyla başlıyor ve kurbanları, sahte dosyayı kurbana görüntülerken arka planda dosya sistemini numaralandırmak için Rust tabanlı yükleri bırakan kötü amaçlı PDF dosyalarıyla etkileşime girmeleri için kandırmak üzere sosyal mühendislik tekniklerinden yararlanıyor.
Kötü amaçlı yazılım, ilgilenilen dosyaları toplamanın yanı sıra, sistem bilgilerini toplayacak ve bunları C2 sunucusuna aktaracak donanıma sahiptir, ancak yeraltı siber suçlarında mevcut olan diğer gelişmiş hırsız kötü amaçlı yazılımların özelliklerinden yoksundur.
Aralık ayında SEQRITE tarafından tanımlanan ikinci bir enfeksiyon zinciri de benzer çok aşamalı bir süreç kullanıyor ancak Rust kötü amaçlı yazılımını, numaralandırma ve sızma adımlarını halleden bir PowerShell komut dosyasıyla değiştiriyor.
Ancak ilginç bir değişiklikle, son aşamadaki veri yükü, “Cisco AnyConnect Web Yardımcısı” adıyla anılan bir Rust yürütülebilir dosyası aracılığıyla başlatılıyor. Toplanan bilgiler en sonunda Oshi’ye yüklenir.[.]etki alanında, adı verilen anonim bir genel dosya paylaşım motoru OshiYükle.
Ram Prakki, “RusticWeb Operasyonu, Pakistan bağlantılı çeşitli gruplarla benzerlikler taşıdığından dolayı bir APT tehdidiyle bağlantılı olabilir” dedi.
Açıklama, Cyble’ın DoNot Ekibi tarafından Hindistan’ın Keşmir bölgesindeki bireyleri hedef alan kötü amaçlı bir Android uygulamasını ortaya çıkarmasından yaklaşık iki ay sonra geldi.
APT-C-35, Origami Elephant ve SECTOR02 isimleriyle de bilinen ulus devlet aktörünün Hint kökenli olduğuna inanılıyor ve tarih Keşmir ve Pakistan’daki insanlara ait cihazlara sızmak için Android kötü amaçlı yazılımlarından yararlanma.
Cyble tarafından incelenen varyant, açık kaynak GitHub projesinin truva atı haline getirilmiş versiyonudur.Kuran Uygulaması: Okuyun ve Keşfedin“Ses ve VoIP aramalarını kaydetmek, ekran görüntüleri yakalamak, çeşitli uygulamalardan veri toplamak, ek APK dosyaları indirmek ve kurbanın konumunu izlemek için çok çeşitli casus yazılım özellikleriyle donatılmış olarak gelir.
Cyble, “DoNot grubunun araç ve tekniklerini geliştirmeye yönelik aralıksız çabaları, özellikle Hindistan’ın hassas Keşmir bölgesindeki bireyleri hedef alma konusunda oluşturdukları süregelen tehdidin altını çiziyor.” söz konusu.