Las entidades gubernamentales indias y el sector de defensa han sido blanco de una campaña de phishing diseñada para eliminar malware basado en Rust para la recopilación de inteligencia.
La actividad, detectada por primera vez en octubre de 2023, lleva el nombre en código Operación RusticWeb por la empresa de seguridad empresarial SEQRITE.
«Se han utilizado nuevas cargas útiles basadas en Rust y comandos cifrados de PowerShell para filtrar documentos confidenciales a un motor de servicio basado en web, en lugar de un servidor dedicado de comando y control (C2)», dijo el investigador de seguridad Sathwik Ram Prakki. dicho.
Se han descubierto superposiciones tácticas entre el grupo y aquellos ampliamente rastreados bajo los apodos Transparent Tribe y SideCopy, los cuales se considera que están vinculados a Pakistán.
SideCopy también es un elemento subordinado sospechoso dentro de Transparent Tribe. El mes pasado, SEQRITE detalló múltiples campañas emprendidas por el actor de amenazas dirigidas a organismos gubernamentales indios para entregar numerosos troyanos como AllaKore RAT, Ares RAT y DRat.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Otras cadenas de ataques recientes documentadas por ThreatMon han empleado señuelo archivos de Microsoft PowerPoint así como archivos RAR especialmente diseñados susceptible a CVE-2023-38831 para la entrega de malware, lo que permite un acceso y control remotos desenfrenados.
«La cadena de infección de SideCopy APT Group implica múltiples pasos, cada uno cuidadosamente orquestado para garantizar un compromiso exitoso», ThreatMon anotado a principios de este año.
El último conjunto de ataques comienza con un correo electrónico de phishing, aprovechando técnicas de ingeniería social para engañar a las víctimas para que interactúen con archivos PDF maliciosos que arrojan cargas útiles basadas en Rust para enumerar el sistema de archivos en segundo plano mientras se muestra el archivo señuelo a la víctima.
Además de acumular archivos de interés, el malware está equipado para recopilar información del sistema y transmitirla al servidor C2, pero carece de las características de otro malware ladrón avanzado disponible en el mundo del cibercrimen.
Una segunda cadena de infección identificada por SEQRITE en diciembre emplea un proceso similar de varias etapas, pero sustituye el malware Rust por un script de PowerShell que se encarga de los pasos de enumeración y exfiltración.
Pero en un giro interesante, la carga útil de la etapa final se lanza a través de un ejecutable de Rust que se llama «Cisco AnyConnect Web Helper». La información recopilada finalmente se carga en oshi.[.]en el dominio, un motor público anónimo para compartir archivos llamado OshiSubir.
«La Operación RusticWeb podría estar vinculada a una amenaza APT ya que comparte similitudes con varios grupos vinculados a Pakistán», dijo Ram Prakki.
La divulgación se produce casi dos meses después de que Cyble descubriera una aplicación de Android maliciosa utilizada por el equipo DoNot dirigida a personas en la región de Cachemira de la India.
Se cree que el actor-estado-nación, también conocido con los nombres APT-C-35, Origami Elephant y SECTOR02, es de origen indio y tiene una historia de utilizar malware de Android para infiltrarse en dispositivos pertenecientes a personas en Cachemira y Pakistán.
La variante examinada por Cyble es una versión troyanizada de un proyecto GitHub de código abierto llamado «QuranApp: lee y explora» que viene equipado con una amplia gama de funciones de software espía para grabar llamadas de audio y VoIP, realizar capturas de pantalla, recopilar datos de varias aplicaciones, descargar archivos APK adicionales y rastrear la ubicación de la víctima.
«Los incansables esfuerzos del grupo DoNot para perfeccionar sus herramientas y técnicas subrayan la amenaza constante que representan, particularmente en su ataque a individuos en la sensible región de Cachemira de la India», dijo Cyble. dicho.