Новости Пакистанские хакеры SideCopy используют презентации для шпионажа за исследователями Индии

[NewsMaker]

---

---

APT-группа SideCopy проводит новую фишинговую кампанию, в ходе которой распространяет бэкдор Action RAT . Об этом Для просмотра ссылки Войди или Зарегистрируйся специалисты компании Cyble в своём отчёте.

Кампания нацелена на организации оборонных исследований и разработок ( DRDO ), научно-исследовательского подразделения Министерства обороны Индии. Цепочка атак начинается с целевых фишинговых писем с вложением в виде ZIP-архива, который содержит LNK-файл, выдающий себя за презентацию о баллистической ракете К-4, разработанной DRDO.

---

---

Поддельная презентация

Выполнение LNK-файла приводит к извлечению HTML-приложения с удаленного сервера, который, в свою очередь, отображает поддельную презентацию, а также скрытно развертывает бэкдор Action RAT.

---

---

Цепочка атак SideCopy

Вредоносное ПО способно выполнять команды, отправленные с сервера управления и контроля (C2, C&C), которые включают:

• сбор информации о машине-жертве;
• сбор файлов с устройства;
• доставку других вредоносных программ.

В ходе кампаний также был развернут новый инфостилер под названием Auto Stealer, который через HTTP или TCP собирает и извлекает файлы Microsoft Office, PDF-документов, баз данных, текстовых файлов и изображений.

SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Для просмотра ссылки Войди или Зарегистрируйся . Она названа так потому, что имитирует цепочки заражения Для просмотра ссылки Войди или Зарегистрируйся для доставки собственного вредоносного ПО. SideCopy впервые была замечена Для просмотра ссылки Войди или Зарегистрируйся в атаках на правительства и энергетические компании в Индии и Афганистане.