Les organisations de recherche sur les matériaux en Asie ont été ciblées par un acteur malveillant jusque-là inconnu utilisant un ensemble d’outils distinct.
Symantec, par Broadcom Software, suit le cluster sous le nom Clasiopa. Les origines du groupe de piratage et ses affiliations sont actuellement inconnues, mais il y a des indices qui suggèrent que l’adversaire pourrait avoir des liens avec l’Inde.
Cela inclut les références à “SAPTARISHI-ATHARVAN-101” dans une porte dérobée personnalisée et l’utilisation du mot de passe “iloveindea1998^_^” pour une archive ZIP.
Il vaut la peine de noter que Saptarishisignifiant “Sept sages” en sanskrit, fait référence à un groupe de voyants qui sont vénérés dans la littérature hindoue. Atharvan était un ancien prêtre hindou et est soupçonné d’avoir co-écrit l’un des quatre Védasune collection d’écritures religieuses dans l’hindouisme.
“Bien que ces détails puissent suggérer que le groupe est basé en Inde, il est également fort probable que les informations aient été placées sous de fausses bannières, le mot de passe en particulier semblant être un indice trop évident”, a déclaré Symantec dans un communiqué. rapport partagé avec The Hacker News.
Les moyens exacts d’accès initial ne sont pas non plus clairs, bien que l’on soupçonne que les cyber-incursions profitent des attaques par force brute sur les serveurs connectés à Internet.
Certaines des principales caractéristiques des intrusions impliquent la suppression du moniteur système (Sysmon) et des journaux d’événements, ainsi que le déploiement de plusieurs portes dérobées, telles qu’Atharvan et une version modifiée du Lilith RAT open source, pour collecter et exfiltrer des informations sensibles.
Atharvan est en outre capable de contacter un serveur de commande et de contrôle (C&C) codé en dur pour récupérer des fichiers et exécuter des exécutables arbitraires sur l’hôte infecté.
“Les adresses C&C codées en dur vues dans l’un des échantillons analysés à ce jour concernaient la région Amazon AWS Corée du Sud (Séoul), qui n’est pas un emplacement courant pour l’infrastructure C&C”, a souligné la société.
La divulgation intervient un jour après que la société de cybersécurité a dévoilé un autre groupe de menaces jusqu’ici non documenté, connu sous le nom d’Hydrochasma, qui a été observé ciblant des compagnies maritimes et des laboratoires médicaux en Asie.