Hindistan ve Afganistan’ı hedef alma geçmişine sahip bir gelişmiş kalıcı tehdit (APT) grubu, Action RAT sağlayan yeni bir kimlik avı kampanyasıyla ilişkilendirildi.
Cyble’a göre, hangi atfedilen operasyonu Yan Kopyafaaliyet kümesi Savunma Araştırma ve Geliştirme Teşkilatını (DRDO), Hindistan Savunma Bakanlığı’nın araştırma ve geliştirme kanadı.
Kendi kötü amaçlı yazılımını yaymak için SideWinder ile ilişkili bulaşma zincirlerini taklit etmesiyle tanınan SideCopy, Transparent Tribe ile örtüşen Pakistan kökenli bir tehdit grubudur. En az 2019’dan beri aktiftir.
Grup tarafından oluşturulan saldırı zincirleri, ilk erişimi elde etmek için hedef odaklı kimlik avı e-postalarının kullanılmasını içerir. Bu iletiler, Windows kısayol dosyası (.LNK) içeren bir ZIP arşiv dosyası içerir. K-4 balistik füze DRDO tarafından geliştirilmiştir.
.LNK dosyasının çalıştırılması, uzak bir sunucudan bir HTML uygulamasının alınmasına yol açar, bu da sırayla bir sahte sunum görüntülerken aynı zamanda Action RAT arka kapısını da gizlice dağıtır.
Kötü amaçlı yazılım, kurban makine hakkında bilgi toplamanın yanı sıra, bir komut ve kontrol (C2) sunucusundan gönderilen komutları çalıştırma, dosyaları toplama ve devam eden kötü amaçlı yazılımları bırakma yeteneğine sahiptir.
Ayrıca, Microsoft Office dosyalarını, PDF belgelerini, veritabanı ve metin dosyalarını ve görüntüleri HTTP veya TCP üzerinden toplamak ve sızdırmak için donatılmış AuTo Stealer olarak adlandırılan yeni bir bilgi çalan kötü amaçlı yazılım da konuşlandırıldı.
Cyble, “APT grubu, cephaneliğine yeni araçlar dahil ederken tekniklerini sürekli olarak geliştiriyor,” dedi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Bu, SideCopy’nin Hindistan’a yönelik saldırılarında Action RAT’i ilk kez kullanışı değil. Aralık 2021’de Malwarebytes, hassas kimlik bilgilerini çalmak için Afganistan’daki bazı bakanlıkları ve Hindistan’daki paylaşılan bir devlet bilgisayarını ihlal eden bir dizi izinsiz girişi ifşa etti.
En son bulgular, düşman ekibinin yakalanmasından bir ay sonra geldi. benekli ReverseRAT adlı bir uzaktan erişim truva atı ile Hindistan devlet kurumlarını hedef alıyor.
