ГлавнаябезопасностьШпионская кампания нацелена на индийскую армию!

Шпионская кампания нацелена на индийскую армию!

Следователи по вопросам безопасности обнаружили доказательства продолжающейся шпионской кампании против вооруженных сил Индии (обороны и вооруженных сил), по крайней мере, с 2019 года. Кампания направлена ​​на то, чтобы кража конфиденциальной и конфиденциальной информации.

Атаки на шпионскую кампанию, которую назвала индийская компания по кибербезопасности Quick Heal «Операция SideCopy», были назначены APT взлом группа, которой удалось остаться в безвестности, «скопировав» тактику других банд, таких как SideWinder.

Шпионская кампания против индийской армии начинается с задания e-mail, который содержит вредоносное вложение - либо ZIP-файл, содержащий файл LNK, либо документ Word - который активирует цепочку заражения через ряд шагов, чтобы получить полезную нагрузку последнего этапа.

Шпионская кампания против индийской армии

В дополнение к размещению три разных цепочки загрязнения, стоит отметить, что он эксплуатировался внедрение шаблона и уязвимость Microsoft Equation Editor (CVE-2017-11882), 20-летняя проблема памяти в Microsoft Офисы, которые в тех случаях, когда хакеры успешно использовали его, могли запускаться удаленно код на уязвимом устройстве даже без взаимодействия с пользователем. Microsoft решила проблему с помощью патча, выпущенного в ноябре 2017 года.

В таких кампаниях атака обычно основана на социальная инженерия, направленный на то, чтобы побудить пользователя открыть на первый взгляд реалистичный документ Word, предположительно связанный с оборонной политикой правительства Индии.

Кроме того, файлы LNK имеют двойное расширение. («Defense-Production-Policy-2020.docx.lnk») и поставляются со значками документов, которые побуждают ничего не подозревающую жертву открыть файл. Когда пользователь открывает файл, файлы LNK являются вредоносными. архив HTA (сокращение от Microsoft HTML-приложений), размещенное на «мошеннических» сайтах, с файлами HTA, созданными с помощью инструмента создания полезной нагрузки с открытым исходным кодом, который называется CACTUSTORCH.

Шпионская кампания против индийской армии

Файл HTA первой стадии включает ложный документ и вредоносный модуль. . NET этот документ запускает и загружает файл HTA второго уровня, который, в свою очередь, проверяет наличие популярных антивирусных решений перед копированием утилиты резервного копирования и восстановления. Полномочия Microsoft («Credwiz.exe») в другую папку на устройстве жертвы и измените реестр, чтобы запускать исполняемый файл копии каждый раз при его запуске.

Следовательно, когда этот файл запущен, это не просто загрузка вредоносного файла. DUser.dll, но модуль RAT также запускается Winms.exe - оба получены на втором этапе ОТЗ. Этот DUser.dll инициирует соединение через IP-адрес '173.212.224.110' через дверь TCP 6102. После успешного подключения он будет выполнять различные функции в зависимости от команды, полученной от системы управления и контроля. сервер (С2). Например, если C2 отправляет 0, он собирает имя компьютера, имя пользователя, версия ОС и т.д., и отправляет их на C2.

Отмечая, что RAT имеет сходство кода с Allakore Remote, открытым исходным кодом. программное обеспечение удаленный доступ, Quick Heal сообщил, что троянец использовал протокол Allakore RFB (Remote Frame Buffer) для устранения данные из зараженной системы.

шпионская кампания против индийской армии

Кроме того, считается, что некоторые цепочки атак «отбрасывают» (ранее невидимую) RAT на основе .NET, которую исследователи «Лаборатории Касперского» назвали Багровая крыса, который имеет различные функции, такие как доступ к файлам, и даже может произвольно выполнять команды.

Согласно The Hacker News, хотя способ работы имени файла DLL имеет сходство с командой SideWinder, сильная зависимость APT от инструментов с открытым исходным кодом и совершенно другой инфраструктуры C2 привела исследователей к выводу, что вредоносный фактор имеет пакистанское происхождение и, в частности, группа Прозрачное племя, который в последнее время ассоциируется со многими нападки направлен на кадровое обеспечение правительства и армии Индии. Таким образом, Quick Heal считает, что фактор угрозы, стоящий за этой кампанией, является частью команды APT. Прозрачное племя и просто копирует другие методы взлома, чтобы ввести в заблуждение специалистов по безопасности.

Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ