Pakistanlı bir tehdit aktörü grubu olan Kozmik Leopar, Hint varlıklarını hedef alan, Göksel Güç Operasyonu adlı çok yıllık bir siber casusluk kampanyası yürütüyor.
2018’den bu yana, başlangıçta Windows ve daha sonra Android için, kötü amaçlı belgeler ve sosyal mühendislik yoluyla dağıtılan GravityRAT kötü amaçlı yazılımını kullanıyorlar.
2019’da araç kitlerini, sahte yükleyiciler aracılığıyla dağıtılan bir kötü amaçlı yazılım yükleyicisi olan HeavyLift ile genişlettiler; operasyondaki her kampanya, özel “GravityAdmin” panelleri tarafından yönetiliyor ve siber hijyen ve derinlemesine savunma güvenliğinin uygulanması konusunda kullanıcı eğitimi ihtiyacının altı çiziliyor. modeller.
Hintli varlıkları hedef alan bir siber casusluk kampanyası olan Celestial Force Operasyonu, iki ana enfeksiyon vektörünü kullanıyor: kötü amaçlı belgeler içeren hedef odaklı e-postalar ve hedefleri kötü amaçlı yazılım indirmeleri için kandırmak için sosyal medyadaki sosyal mühendislik.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Kötü amaçlı yazılım paketi, Windows ve Android için uzaktan erişimli bir Truva atı olan GravityRAT’ı ve bir Windows kötü amaçlı yazılım yükleyicisi olan HeavyLift’i içeriyor.
Operatörler bu araçları GravityAdmin adı verilen çok panelli bir yönetim arayüzü ile yönetirler.
GravityAdmin, çeşitli kötü amaçlı kampanyaları yönetmek için kullanılan bir kötü amaçlı yazılım çerçevesidir. Panel ikili programı, bir sunucuyla kullanıcıların kimliğini doğrular ve kampanyaya özel C2 sunucularıyla iletişim kurmak için bir jeton alır.
Farklı kampanyalar farklı platformları (Windows ve Android) hedefler ve farklı kötü amaçlı yazılım ailelerini (GravityRAT ve HeavyLift) dağıtır.
Kampanyalar arasında, kötü amaçlı etki alanlarının ana makine yükleriyle paylaşılması veya virüslü makine listelerinin tutulması gibi altyapı çakışmaları vardır.
Çok platformlu bir uzaktan erişim truva atı olan GravityRAT, ilk olarak Windows makinelerini hedef aldı ancak o zamandan beri muhtemelen Pakistanlı aktörler tarafından Hintli hedeflere karşı kullanılan ve sahte uygulama web siteleri ve sosyal medya aracılığıyla yayılan Android cihazları da kapsayacak şekilde genişledi.
Yeni varyantlar kullanıcı verilerini (SMS, arama kayıtları, dosyalar), cihaz bilgilerini (IMEI, konum) ve hatta ilişkili e-posta adreslerini çalıyor.
Kötü amaçlı yazılım, gizli komuta ve kontrol sunucularıyla iletişim kurar ve virüslü cihazlardaki verileri silebilir.
Electron tabanlı bir kötü amaçlı yazılım yükleyicisi olan HeavyLift, bir yükleyici olarak gizlenir ve sistem bilgilerini (kullanıcı adı, MAC adresi ve işletim sistemi sürümü dahil) çalmak ve kötü amaçlı yükleri indirmek için C2 sunucularıyla iletişim kuran sosyal mühendislik yoluyla konuşlandırılır.
Bu veriler, tehlikeye atılan sistemde macOS için crontab ve Windows için zamanlanmış görevler kullanılarak kalıcı olarak yürütülür. Kötü amaçlı yazılım ayrıca sanal ortamlarda tespit edilmekten kaçınmak için anti-analiz teknikleri de uygular.
Cisco Talos tarafından sağlanan Tehlike Göstergeleri (IOC’ler), HeavyLift, GravityRAT Android ve GravityAdmin dahil olmak üzere Android kötü amaçlı yazılımlarıyla ilişkili kötü amaçlı dosyalar, alanlar ve URL’lerin karmalarıdır.
URL’ler şüpheli parametreler içerir ve Android cihazlardaki güvenlik açıklarından yararlanmak için kullanılabilir ve güvenlik araştırmacıları bu IOC’leri dosyalar, ağ trafiği ve URL’lerle karşılaştırarak potansiyel enfeksiyonları tespit edebilir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free