Un grupo de amenazas persistentes avanzadas (APT) que tiene un historial de ataques a India y Afganistán ha sido vinculado a una nueva campaña de phishing que ofrece Action RAT.
Según Cyble, que atribuido la operación a Copia lateralel grupo de actividades está diseñado para apuntar a la Organización de Investigación y Desarrollo de Defensa (DRDO), el ala de investigación y desarrollo del Ministerio de Defensa de la India.
Conocido por emular las cadenas de infección asociadas con SideWinder para entregar su propio malware, SideCopy es un grupo de amenazas de origen pakistaní que comparte coincidencias con Transparent Tribe. Ha estado activo desde al menos 2019.
Las secuencias de ataque montadas por el grupo implican el uso de correos electrónicos de phishing para obtener acceso inicial. Estos mensajes vienen con un archivo ZIP que contiene un archivo de acceso directo de Windows (.LNK) disfrazado como información sobre el Misil balístico K-4 desarrollado por DRDO.
La ejecución del archivo .LNK conduce a la recuperación de una aplicación HTML desde un servidor remoto, que, a su vez, muestra una presentación de señuelo, mientras que también despliega sigilosamente la puerta trasera Action RAT.
El malware, además de recopilar información sobre la máquina de la víctima, es capaz de ejecutar comandos enviados desde un servidor de comando y control (C2), incluida la recolección de archivos y la eliminación de malware de seguimiento.
También se implementó un nuevo malware de robo de información denominado AuTo Stealer que está equipado para recopilar y filtrar archivos de Microsoft Office, documentos PDF, bases de datos y archivos de texto e imágenes a través de HTTP o TCP.
“El grupo APT desarrolla continuamente sus técnicas mientras incorpora nuevas herramientas a su arsenal”, señaló Cyble.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
Esta no es la primera vez que SideCopy emplea Action RAT en sus ataques dirigidos contra India. En diciembre de 2021, Malwarebytes reveló un conjunto de intrusiones que violaron varios ministerios en Afganistán y una computadora gubernamental compartida en India para robar credenciales confidenciales.
Los últimos hallazgos llegan un mes después de que la tripulación adversaria fuera manchado apuntando a las agencias gubernamentales indias con un troyano de acceso remoto denominado ReverseRAT.
About the Author
