Хакеры используют новейшие методы для кражи секретных данных.
Индийские госструктуры и оборонная отрасль стали целью хакерской атаки, использующей фишинг и вредоносное ПО на основе Rust для разведки. Кампания, обнаруженная в октябре 2023 года и получившая название Operation RusticWeb, была выявлена ИБ-компанией SEQRITE.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся SEQRITE, для кражи конфиденциальных документов были задействованы новые полезные нагрузки на основе Rust и зашифрованные команды PowerShell. Они передают собранную информацию не на традиционный сервер управления и контроля (Command and Control, C2 ), а на веб-сервис.
Анализ показал тактические связи между обнаруженной кампанией и деятельностью групп Transparent Tribe и SideCopy, предположительно связанных с Пакистаном. По данным SEQRITE, SideCopy, возможно, подчиняется Transparent Tribe. В Для просмотра ссылки Войдиили Зарегистрируйся группировки против индийских госорганов использовались трояны AllaKore RAT, Ares RAT и DRat.
ThreatMon отметил, что недавние атаки включали использование поддельных файлов PowerPoint и специально подготовленных архивов RAR, уязвимых к Для просмотра ссылки Войдиили Зарегистрируйся , что позволяло злоумышленникам получить полный удаленный доступ и контроль над устройством.
Цепочка заражения SideCopy APT Group включает в себя несколько этапов, каждый из которых тщательно организован для обеспечения успешного взлома. Последний набор атак начинается с фишингового электронного письма, в котором используются методы социальной инженерии, чтобы обманом заставить жертв взаимодействовать с вредоносным PDF-файлом, который доставляет полезные данные на основе Rust для сканирования файловой системы, в то время как жертвам показывается поддельный документ.
Вирус собирает файлы и информацию о системе, отправляя их на C2-сервер. Однако, по словам экспертов, вредоносное ПО не имеет функционала более продвинутых вредоносных программ, доступных на киберпреступном рынке.
Другая цепочка заражения, обнаруженная SEQRITE в декабре, также многоступенчатая, но в ней Rust-вирус заменен на скрипт PowerShell. В конце цепочки заражения используется исполняемый файл Rust под названием «Cisco AnyConnect Web Helper». Собранные данные отправляются на домен «oshi[.]at», публичный файловый сервис Для просмотра ссылки Войдиили Зарегистрируйся .
Индийские госструктуры и оборонная отрасль стали целью хакерской атаки, использующей фишинг и вредоносное ПО на основе Rust для разведки. Кампания, обнаруженная в октябре 2023 года и получившая название Operation RusticWeb, была выявлена ИБ-компанией SEQRITE.
Согласно Для просмотра ссылки Войди
Анализ показал тактические связи между обнаруженной кампанией и деятельностью групп Transparent Tribe и SideCopy, предположительно связанных с Пакистаном. По данным SEQRITE, SideCopy, возможно, подчиняется Transparent Tribe. В Для просмотра ссылки Войди
ThreatMon отметил, что недавние атаки включали использование поддельных файлов PowerPoint и специально подготовленных архивов RAR, уязвимых к Для просмотра ссылки Войди
Цепочка заражения SideCopy APT Group включает в себя несколько этапов, каждый из которых тщательно организован для обеспечения успешного взлома. Последний набор атак начинается с фишингового электронного письма, в котором используются методы социальной инженерии, чтобы обманом заставить жертв взаимодействовать с вредоносным PDF-файлом, который доставляет полезные данные на основе Rust для сканирования файловой системы, в то время как жертвам показывается поддельный документ.
Вирус собирает файлы и информацию о системе, отправляя их на C2-сервер. Однако, по словам экспертов, вредоносное ПО не имеет функционала более продвинутых вредоносных программ, доступных на киберпреступном рынке.
Другая цепочка заражения, обнаруженная SEQRITE в декабре, также многоступенчатая, но в ней Rust-вирус заменен на скрипт PowerShell. В конце цепочки заражения используется исполняемый файл Rust под названием «Cisco AnyConnect Web Helper». Собранные данные отправляются на домен «oshi[.]at», публичный файловый сервис Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru