- 13,858
- 20
- 8 Ноя 2022
Неизвестная ранее группа с запутанным происхождением нацелена на исследовательские организации в Азии.
Исследователи кибербезопасности из ИБ-компании Для просмотра ссылки Войди
Происхождение хакерской группы и ее принадлежность в настоящее время неизвестны, но есть намеки на то, что киберпреступники могут иметь связи с Индией. Такой вывод сделан, исходя из ссылок на «SAPTARISHI-ATHARVAN-101» (Saptarishi - провидец из индуистской литературы, Atharvan - священник, соавтор части религиозных писаний индусов) в бэкдоре и использование пароля «iloveindea1998^_^» для вредоносного ZIP-архива.
«Хотя эти детали могут свидетельствовать о том, что группа базируется в Индии, также вполне вероятно, что информация была подброшена как ложный флаг, а пароль, в частности, кажется слишком очевидной подсказкой», — говорится в отчете Symantec.
Также неясны точные средства начального доступа, хотя есть подозрения, что хакеры проводят брутфорс-атаки на серверы, подключенные к Интернету. Некоторые из ключевых признаков вторжений включают очистку системного монитора и журналов событий, а также развертывание нескольких бэкдоров, таких как Atharvan и модифицированная версия Lilith RAT с открытым исходным кодом, для кражи конфиденциальной информации.
Кроме того, Atharvan может связываться с жестко запрограммированным адресом сервера управления и контроля ( Для просмотра ссылки Войди
Судя по используемым инструментам и тактике, основной мотив группы заключается в получении постоянного доступа к устройствам без обнаружения, а также в краже информации.
- Источник новости
- www.securitylab.ru
