Образовательный сектор становится мишенью кибератак с использованием Crimson RAT.
По Для просмотра ссылки Войдиили Зарегистрируйся , предположительно базирующаяся в Пакистане группировка Для просмотра ссылки Войди или Зарегистрируйся (APT36, Operation C-Major, PROJECTM и Mythic Leopard) проводит кибератаки на сектор образования Индии с целью развертывания вредоносного ПО под названием Crimson RAT.
Вредоносная программа на основе .NET имеет следующие возможности:
В ходе кампании Transparent Tribe распространяет заражённые документы Microsoft Office, которые содержат образовательный контент и называются как «Задание» или «Задание №10». Документы используют вредоносный код макроса для запуска Crimson RAT. В других случаях группировка использовала технологии встраивания OLE (Object Linking and Embedding) для запуска вредоносного ПО.
Специалисты SentinelOne поясняют, что вредоносные документы, реализующие технику OLE, требуют от пользователя двойного щелчка по элементу документа, чтобы разблокировать контент.
Функция заставляет пользователей дважды щелкнуть по изображению для просмотра содержимого, тем самым активируя пакет OLE, который хранит и выполняет Crimson RAT, маскируясь под процесс обновления.
Также было замечено, что варианты Crimson RAT задерживают свое выполнение на определенный период времени – от 1 до 4 минут, а также реализуют различные методы обфускации с использованием инструментов Crypto Obfuscator и Eazfuscator.
Эта кампания, не единственная операция группы, нацеленная на Индию. Ранее Transparent Tribe Для просмотра ссылки Войдиили Зарегистрируйся , нацеленной на индийских и пакистанских пользователей Android с помощью бэкдора под названием CapraRAT. По предварительным оценкам, жертвами стали около 150 человек. Вредоносное ПО можно было загрузить с поддельных фишинговых веб-сайтов, а само приложение по своему интерфейсу и названию определённо является своеобразной пародией на WhatsApp.
По Для просмотра ссылки Войди
Вредоносная программа на основе .NET имеет следующие возможности:
- Эксфильтрация файлов и системных данных на сервер злоумышленника (С2);
- Создание снимков экрана;
- Завершение запущенных процессов;
- Загрузка и выполнение дополнительных полезных нагрузок для регистрации нажатий клавиш (кейлоггинг) и кражи учетных данных браузера.
В ходе кампании Transparent Tribe распространяет заражённые документы Microsoft Office, которые содержат образовательный контент и называются как «Задание» или «Задание №10». Документы используют вредоносный код макроса для запуска Crimson RAT. В других случаях группировка использовала технологии встраивания OLE (Object Linking and Embedding) для запуска вредоносного ПО.
Специалисты SentinelOne поясняют, что вредоносные документы, реализующие технику OLE, требуют от пользователя двойного щелчка по элементу документа, чтобы разблокировать контент.
Функция заставляет пользователей дважды щелкнуть по изображению для просмотра содержимого, тем самым активируя пакет OLE, который хранит и выполняет Crimson RAT, маскируясь под процесс обновления.
Также было замечено, что варианты Crimson RAT задерживают свое выполнение на определенный период времени – от 1 до 4 минут, а также реализуют различные методы обфускации с использованием инструментов Crypto Obfuscator и Eazfuscator.
Эта кампания, не единственная операция группы, нацеленная на Индию. Ранее Transparent Tribe Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru