Новости Operation RusticWeb: пакистанский бэкдор шпионит за госслужащими Индии

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Хакеры используют новейшие методы для кражи секретных данных.


czgcjl2qzasp60uha9ky2vp3z4l53838.jpg


Индийские госструктуры и оборонная отрасль стали целью хакерской атаки, использующей фишинг и вредоносное ПО на основе Rust для разведки. Кампания, обнаруженная в октябре 2023 года и получившая название Operation RusticWeb, была выявлена ИБ-компанией SEQRITE.

Согласно Для просмотра ссылки Войди или Зарегистрируйся SEQRITE, для кражи конфиденциальных документов были задействованы новые полезные нагрузки на основе Rust и зашифрованные команды PowerShell. Они передают собранную информацию не на традиционный сервер управления и контроля (Command and Control, C2 ), а на веб-сервис.

Анализ показал тактические связи между обнаруженной кампанией и деятельностью групп Transparent Tribe и SideCopy, предположительно связанных с Пакистаном. По данным SEQRITE, SideCopy, возможно, подчиняется Transparent Tribe. В Для просмотра ссылки Войди или Зарегистрируйся группировки против индийских госорганов использовались трояны AllaKore RAT, Ares RAT и DRat.

ThreatMon отметил, что недавние атаки включали использование поддельных файлов PowerPoint и специально подготовленных архивов RAR, уязвимых к Для просмотра ссылки Войди или Зарегистрируйся , что позволяло злоумышленникам получить полный удаленный доступ и контроль над устройством.

Цепочка заражения SideCopy APT Group включает в себя несколько этапов, каждый из которых тщательно организован для обеспечения успешного взлома. Последний набор атак начинается с фишингового электронного письма, в котором используются методы социальной инженерии, чтобы обманом заставить жертв взаимодействовать с вредоносным PDF-файлом, который доставляет полезные данные на основе Rust для сканирования файловой системы, в то время как жертвам показывается поддельный документ.

Вирус собирает файлы и информацию о системе, отправляя их на C2-сервер. Однако, по словам экспертов, вредоносное ПО не имеет функционала более продвинутых вредоносных программ, доступных на киберпреступном рынке.

Другая цепочка заражения, обнаруженная SEQRITE в декабре, также многоступенчатая, но в ней Rust-вирус заменен на скрипт PowerShell. В конце цепочки заражения используется исполняемый файл Rust под названием «Cisco AnyConnect Web Helper». Собранные данные отправляются на домен «oshi[.]at», публичный файловый сервис Для просмотра ссылки Войди или Зарегистрируйся .
 
Источник новости
www.securitylab.ru

Похожие темы