Les entités gouvernementales indiennes et le secteur de la défense ont été ciblés par une campagne de phishing conçue pour supprimer des logiciels malveillants basés sur Rust à des fins de collecte de renseignements.
L’activité, détectée pour la première fois en octobre 2023, a été baptisée Opération RusticWeb par la société de sécurité d’entreprise SEQRITE.
« De nouvelles charges utiles basées sur Rust et des commandes PowerShell cryptées ont été utilisées pour exfiltrer des documents confidentiels vers un moteur de service Web, au lieu d’un serveur de commande et de contrôle (C2) dédié », a déclaré le chercheur en sécurité Sathwik Ram Prakki. dit.
Des chevauchements tactiques ont été découverts entre le cluster et ceux largement suivis sous les surnoms Transparent Tribe et SideCopy, tous deux considérés comme étant liés au Pakistan.
SideCopy est également un élément subordonné présumé au sein de Transparent Tribe. Le mois dernier, SEQRITE a détaillé plusieurs campagnes entreprises par l’acteur malveillant ciblant les organismes gouvernementaux indiens pour diffuser de nombreux chevaux de Troie tels que AllaKore RAT, Ares RAT et DRat.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
D’autres chaînes d’attaque récentes documentées par ThreatMon ont employé leurre fichiers Microsoft PowerPoint ainsi que archives RAR spécialement conçues sensible au CVE-2023-38831 pour la diffusion de logiciels malveillants, permettant un accès et un contrôle à distance illimités.
« La chaîne d’infection du groupe SideCopy APT implique plusieurs étapes, chacune soigneusement orchestrée pour garantir une compromission réussie », ThreatMon noté plus tôt cette année.
La dernière série d’attaques commence par un e-mail de phishing, exploitant des techniques d’ingénierie sociale pour inciter les victimes à interagir avec des fichiers PDF malveillants qui déposent des charges utiles basées sur Rust pour énumérer le système de fichiers en arrière-plan tout en affichant le fichier leurre à la victime.
En plus d’accumuler des fichiers intéressants, le malware est équipé pour collecter des informations système et les transmettre au serveur C2, mais ne dispose pas des fonctionnalités d’autres malwares voleurs avancés disponibles dans le milieu de la cybercriminalité.
Une deuxième chaîne d’infection identifiée par SEQRITE en décembre utilise un processus similaire en plusieurs étapes, mais remplace le malware Rust par un script PowerShell qui prend en charge les étapes d’énumération et d’exfiltration.
Mais dans une tournure intéressante, la charge utile de la dernière étape est lancée via un exécutable Rust qui porte le nom de « Cisco AnyConnect Web Helper ». Les informations recueillies sont finalement téléchargées sur oshi[.]au domaine, un moteur de partage de fichiers public anonyme appelé OshiTélécharger.
« L’opération RusticWeb pourrait être liée à une menace APT car elle partage des similitudes avec divers groupes liés au Pakistan », a déclaré Ram Prakki.
La divulgation intervient près de deux mois après que Cyble a découvert une application Android malveillante utilisée par l’équipe DoNot ciblant des individus dans la région du Cachemire en Inde.
L’acteur étatique, également connu sous les noms d’APT-C-35, Origami Elephant et SECTOR02, serait d’origine indienne et possède un histoire d’utiliser des logiciels malveillants Android pour infiltrer des appareils appartenant à des personnes au Cachemire et au Pakistan.
La variante examinée par Cyble est une version trojanisée d’un projet open source GitHub appelé « QuranApp : lire et explorer » qui est équipé d’un large éventail de fonctionnalités de logiciels espions pour enregistrer des appels audio et VoIP, capturer des captures d’écran, collecter des données à partir de diverses applications, télécharger des fichiers APK supplémentaires et suivre l’emplacement de la victime.
« Les efforts incessants du groupe DoNot pour affiner ses outils et techniques soulignent la menace permanente qu’il représente, en particulier dans le ciblage d’individus dans la région sensible du Cachemire en Inde », a déclaré Cyble. dit.