Hindistan bağlantılı gelişmiş bir tehdit aktörünün, kimlik bilgisi toplamayı, kötü amaçlı yazılım dağıtımını ve komuta ve kontrolü (C2) kolaylaştırmak için birden fazla bulut hizmeti sağlayıcısını kullandığı gözlemlendi.
Web altyapısı ve güvenlik şirketi Cloudflare, etkinliği şu ad altında izliyor: DağınıkLemmingaynı zamanda denir Outrider Kaplanı ve Balıkçı Fili.
“2022’nin sonundan bugüne kadar SloppyLemming, muhtemelen Güney ve Doğu Asya ülkelerini hedef alan kapsamlı bir casusluk kampanyasının parçası olarak Cloudflare Workers’ı rutin olarak kullandı,” Cloudflare söz konusu Bir analizde.
SloppyLemming’in en azından Temmuz 2021’den beri aktif olduğu değerlendiriliyor ve önceki kampanyalarda Ares RAT ve WarHawk gibi kötü amaçlı yazılımlar kullanılıyordu; ikincisi SideWinder adlı bilinen bir hacker ekibiyle de bağlantılı. Öte yandan Ares RAT’ın kullanımı, muhtemelen Pakistan kökenli bir tehdit aktörü olan SideCopy ile bağlantılı.
SloppyLemming’in faaliyetlerinin hedefleri arasında Pakistan, Sri Lanka, Bangladeş, Çin, Nepal ve Endonezya’da bulunan hükümet, kolluk kuvvetleri, enerji, eğitim, telekomünikasyon ve teknoloji kuruluşları yer alıyor.
Saldırı zincirleri, alıcıları acil bir durum hissi yaratarak kötü amaçlı bir bağlantıya tıklamaları için kandırmayı amaçlayan hedeflere kimlik avı e-postaları göndermeyi ve zorunlu bir işlemi 24 saat içinde tamamlamaları gerektiğini iddia etmeyi içeriyor.
URL’ye tıklandığında kurban, kimlik bilgilerinin toplandığı bir sayfaya yönlendiriliyor ve bu sayfa, tehdit aktörünün ilgi duyduğu kuruluşlardaki hedeflenen e-posta hesaplarına yetkisiz erişim elde etmesini sağlayan bir mekanizma görevi görüyor.
Şirketten yapılan açıklamada, “Aktör, kimlik bilgisi kayıt mantığını yönetmek ve kurbanın kimlik bilgilerini tehdit aktörüne sızdırmak için kötü amaçlı bir Cloudflare Worker oluşturmak amacıyla CloudPhish adlı özel olarak oluşturulmuş bir araç kullanıyor” denildi.
SloppyLemming tarafından gerçekleştirilen saldırıların bazıları, Google OAuth belirteçlerini ele geçirmek için benzer tekniklerden yararlanmış ve uzaktan kod yürütmeyi başarmak için muhtemelen bir WinRAR açığından (CVE-2023-38831) yararlanan tuzaklı RAR arşivlerini (“CamScanner 06-10-2024 15.29.rar”) kullanmıştır.
RAR dosyasının içerisinde, sahte belgeyi görüntülemenin yanı sıra, Dropbox’ta barındırılan uzaktan erişim trojanını almak için bir indirici görevi gören “CRYPTSP.dll” dosyasını gizlice yükleyen bir yürütülebilir dosya bulunuyor.
Burada, siber güvenlik şirketi SEQRITE’ın geçen yıl SideCopy aktörleri tarafından Hindistan hükümetini ve savunma sektörlerini hedef alarak Ares RAT’ı dağıtmak için “DocScanner_AUG_2023.zip” ve “DocScanner-Oct.zip” adlı ZIP arşivlerini kullanarak aynı açığı tetiklemek üzere tasarlanmış benzer bir kampanya başlattığını da belirtmekte fayda var.
SloppyLemming’in kullandığı üçüncü enfeksiyon dizisi, potansiyel hedefleri Pakistan’daki Punjab Bilgi Teknolojileri Kurulu’nu (PITB) taklit eden sahte bir web sitesine yönlendirmek için mızraklı kimlik avı yemleri kullanmayı içeriyor ve ardından hedef kişiler, bir internet kısayolu (URL) dosyası içeren başka bir siteye yönlendiriliyor.
URL dosyası, aynı sunucudan PITB-JR5124.exe adlı bir yürütülebilir dosya olan başka bir dosyayı indirmek için kodla gömülü olarak gelir. İkili dosya, daha sonra bir Cloudflare Worker ile iletişim kuran profapi.dll adlı bir sahte DLL’i yan yüklemek için kullanılan meşru bir dosyadır.
Şirket, bu Cloudflare Worker URL’lerinin aracı görevi gördüğünü ve istekleri saldırganın kullandığı gerçek C2 etki alanına ilettiğini belirtti (“aljazeerak”)[.]çevrimiçi”).
Cloudflare, “SloppyLemming’in Pakistan polis teşkilatlarını ve diğer kolluk kuvvetlerini hedef alma yönünde yoğun çabalar gösterdiğini” belirterek, “Aktörün Pakistan’ın tek nükleer enerji tesisinin işletimi ve bakımıyla ilgili kuruluşları hedef aldığına dair belirtiler olduğunu” söyledi.
Belge toplama faaliyetinin diğer hedefleri arasında Sri Lanka ve Bangladeş hükümet ve askeri kuruluşları ile daha az ölçüde Çin enerji ve akademik sektör kuruluşları yer alıyor.