Суббота, 24 октября, 21:29
дома безопасность Шпионская кампания нацелена на индийскую армию!

Шпионская кампания нацелена на индийскую армию!

Следователи по вопросам безопасности обнаружили доказательства продолжающейся шпионской кампании против вооруженных сил Индии (обороны и вооруженных сил), по крайней мере, с 2019 года. Кампания направлена ​​на то, чтобы кража конфиденциальной и конфиденциальной информации.

Атаки на эту шпионскую кампанию, которую индийская компания по кибербезопасности "Quick Heal" назвала «Операция SideCopy», были назначены APT взлом группа, которой удалось остаться в безвестности, «скопировав» тактику других банд, таких как SideWinder.

Шпионская кампания против индийской армии начинается с задания e-mail, который содержит вредоносное вложение - либо ZIP-файл, содержащий файл LNK, либо документ Word - который активирует цепочку заражения через ряд шагов, чтобы получить полезную нагрузку последнего этапа.

Шпионская кампания против индийской армии

В дополнение к размещению три разных цепочки загрязнения, стоит отметить, что он эксплуатировался внедрение шаблона и уязвимость Microsoft Equation Editor (CVE-2017-11882), 20-летняя проблема памяти в Microsoft Для офиса, которые в тех случаях, когда хакеры успешно использовали его, могли запускаться удаленно код на уязвимом устройстве даже без взаимодействия с пользователем. Microsoft решила проблему с помощью патча, выпущенного в ноябре 2017 года.

В таких кампаниях атака обычно основана на социальная инженерия, направленный на то, чтобы побудить пользователя открыть на первый взгляд реалистичный документ Word, предположительно связанный с оборонной политикой правительства Индии.

Кроме того, файлы LNK имеют двойное расширение. («Defense-Production-Policy-2020.docx.lnk») и поставляются со значками документов, которые побуждают ничего не подозревающую жертву открыть файл. Когда пользователь открывает файл, файлы LNK являются вредоносными. архив HTA (сокращение от Microsoft HTML-приложений), размещенное на «мошеннических» сайтах, с файлами HTA, созданными с помощью инструмента создания полезной нагрузки с открытым исходным кодом, который называется CACTUSTORCH.

Шпионская кампания против индийской армии

Файл HTA первой стадии включает ложный документ и вредоносный модуль. . NET этот документ запускает и загружает файл HTA второго уровня, который, в свою очередь, проверяет наличие популярных антивирусных решений перед копированием утилиты резервного копирования и восстановления. Полномочия Microsoft («Credwiz.exe») в другую папку на устройстве жертвы и измените реестр, чтобы запускать исполняемый файл копии каждый раз при его запуске.

Следовательно, когда этот файл запущен, это не просто загрузка вредоносного файла. DUser.dll, но модуль RAT также запускается Winms.exe Оба получены на втором этапе HTA. Этот DUser.dll инициирует соединение через IP-адрес "173.212.224.110" через дверь TCP 6102. После успешного подключения он будет выполнять различные функции в зависимости от команды, полученной от системы управления и контроля. сервер (С2). Например, если C2 отправляет 0, он собирает имя компьютера, имя пользователя, версия ОС и т.д., и отправляет их на C2.

Отмечая, что RAT имеет сходство кода с Allakore Remote, открытым исходным кодом. программное обеспечение удаленный доступ, Quick Heal сообщил, что троянец использовал протокол Allakore RFB (Remote Frame Buffer) для устранения данные из зараженной системы.

шпионская кампания против индийской армии

Кроме того, считается, что некоторые цепочки атак «отбрасывают» (ранее невидимую) RAT на основе .NET, которую исследователи «Лаборатории Касперского» назвали Малиновая КРЫСА, который имеет различные функции, такие как доступ к файлам, и даже может произвольно выполнять команды.

Согласно The Hacker News, хотя способ работы имени файла DLL имеет сходство с командой SideWinder, сильная зависимость APT от инструментов с открытым исходным кодом и совершенно другой инфраструктуры C2 привела исследователей к выводу, что вредоносный фактор имеет пакистанское происхождение и, в частности, группа Прозрачное племя, который в последнее время ассоциируется со многими нападки направлен на кадровое обеспечение правительства и армии Индии. Таким образом, Quick Heal считает, что фактор угрозы, стоящий за этой кампанией, является частью команды APT. Прозрачное племя и просто копирует другие методы взлома, чтобы ввести в заблуждение специалистов по безопасности.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ

Как экспортировать данные из Google Fit

В Google Fit есть ряд данных о здоровье, которые вы записываете / собираете в течение месяцев или даже лет, используя свой телефон, ...

Как вы можете увидеть все свои истории в Instagram на карте?

Поскольку ваши истории в Instagram исчезают через 24 часа, может быть сложно найти предыдущие клипы. Но теперь ...

Как вы автоматически удаляете свою учетную запись Google?

Если у вас есть учетная запись Google, но вы по какой-то причине хотите ее удалить, потому что больше не хотите ее использовать, ...

Как удалить версию Windows 2020 от октября 10 года?

Если у вас возникла проблема с новой версией Microsoft для Windows 10 (Windows 10, октябрь 2020 г.

Как использовать портретный свет на телефоне Pixel

Освещение, несомненно, является наиболее важным компонентом для получения хорошего снимка. Если у вас телефон Pixel, вы можете исправить ...

DFAT: приносим свои извинения австралийцам за неудобства.

Контактные данные не менее 15 граждан Австралии были включены в поле «Копия» электронного письма. Министр иностранных дел и торговли Австралии (DFAT) Мариз ...

Как поделиться своим Apple Watch Face с другими

Одна из лучших вещей в обладании Apple Watch - это возможность настроить часы с помощью разных цветов ...

Нью-Йорк: округ Ченанго атаковали программы-вымогатели

Чиновникам округа Ченанго пришлось искать другие решения, поскольку ни один из их компьютеров не был доступен ...

Посмотрите первые видеоролики об использовании полной бета-версии Tesla Self-Driving

Мы впервые видим, на что похоже обновление программного обеспечения Tesla Full Self-Driving Beta и что некоторые пользователи, которые ...

Фармацевтическая компания Shionogi & Co стала жертвой утечки данных

Фармацевтическая компания Shionogi & Co. базирующаяся в Японии, объявила в четверг, что ее дочерняя компания на Тайване пострадала от ...