Пакистанские хакеры увеличили своё влияние в Южной Азии.
ИБ-компания ThreatMon
Для просмотра ссылки Войди или Зарегистрируйся целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии ReverseRAT . Специалисты ThreatMon приписали эту активность группировке SideCopy.
SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием
Для просмотра ссылки Войди или Зарегистрируйся . Она названа так потому, что имитирует цепочки заражения
Для просмотра ссылки Войди или Зарегистрируйся для доставки собственного вредоносного ПО. SideCopy впервые была замечена
Для просмотра ссылки Войди или Зарегистрируйся в атаках на правительства и энергетические компании в Индии и Афганистане.
Обнаруженная кампания SideCopy использует программу для двухфакторной аутентификации Kavach, которое используется индийскими госслужащими. Цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов («Cyber Advisory 2023.docm»).
Файл имитирует рекомендацию Министерства связи Индии об угрозах на устройства Android и реагирование на них («Android Threats and Prevention»). Кроме того, большая часть контента была
Для просмотра ссылки Войди или Зарегистрируйся из реального предупреждения Министерства.
После открытия файла и включения макросов выполняется вредоносный код, который приводит к развертыванию
Для просмотра ссылки Войди или Зарегистрируйся в скомпрометированной системе. Как только ReverseRAT получает постоянство, он перечисляет устройства жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на сервер управления и контроля (C2, C&C). Бэкдор ожидает выполнения команд на целевой машине, и некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также эксфильтрацию файлов на сервер C2.
Бэкдор ReverseRAT
Для просмотра ссылки Войди или Зарегистрируйся в 2021 году компанией Black Lotus Labs. Тогда эксперты пояснили, что операторы трояна нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии.
С 2020 года SideWinder, с которой связана группа SideCopy,
Для просмотра ссылки Войди или Зарегистрируйся , применяя все более изощренные методы кибератак. В 2022 году «Лаборатория Касперского» рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Считается, что группировка связана с правительством Индии, но ЛК утверждает, что группировка не относится к какой-либо стране.
