Новости Задание №10: Пакистанский APT36 маскируется под учебные материалы для кибератак на Индию

NewsMaker

I'm just a script
Премиум
13,855
20
8 Ноя 2022
Образовательный сектор становится мишенью кибератак с использованием Crimson RAT.


3xhpxt1zqqi0h5jvd8firgi8o009ew7w.jpg


По Для просмотра ссылки Войди или Зарегистрируйся , предположительно базирующаяся в Пакистане группировка Для просмотра ссылки Войди или Зарегистрируйся (APT36, Operation C-Major, PROJECTM и Mythic Leopard) проводит кибератаки на сектор образования Индии с целью развертывания вредоносного ПО под названием Crimson RAT.

Вредоносная программа на основе .NET имеет следующие возможности:

  • Эксфильтрация файлов и системных данных на сервер злоумышленника (С2);
  • Создание снимков экрана;
  • Завершение запущенных процессов;
  • Загрузка и выполнение дополнительных полезных нагрузок для регистрации нажатий клавиш (кейлоггинг) и кражи учетных данных браузера.

В ходе кампании Transparent Tribe распространяет заражённые документы Microsoft Office, которые содержат образовательный контент и называются как «Задание» или «Задание №10». Документы используют вредоносный код макроса для запуска Crimson RAT. В других случаях группировка использовала технологии встраивания OLE (Object Linking and Embedding) для запуска вредоносного ПО.

Специалисты SentinelOne поясняют, что вредоносные документы, реализующие технику OLE, требуют от пользователя двойного щелчка по элементу документа, чтобы разблокировать контент.


zjqo7fel40n3dqprqka7w0sei13h6i5m.png


Функция заставляет пользователей дважды щелкнуть по изображению для просмотра содержимого, тем самым активируя пакет OLE, который хранит и выполняет Crimson RAT, маскируясь под процесс обновления.

Также было замечено, что варианты Crimson RAT задерживают свое выполнение на определенный период времени – от 1 до 4 минут, а также реализуют различные методы обфускации с использованием инструментов Crypto Obfuscator и Eazfuscator.

Эта кампания, не единственная операция группы, нацеленная на Индию. Ранее Transparent Tribe Для просмотра ссылки Войди или Зарегистрируйся , нацеленной на индийских и пакистанских пользователей Android с помощью бэкдора под названием CapraRAT. По предварительным оценкам, жертвами стали около 150 человек. Вредоносное ПО можно было загрузить с поддельных фишинговых веб-сайтов, а само приложение по своему интерфейсу и названию определённо является своеобразной пародией на WhatsApp.
 
Источник новости
www.securitylab.ru

Похожие темы