Hindistan devlet kurumlarını hedef alan bir kimlik avı kampanyası, arka kapının güncellenmiş bir sürümünü dağıtmayı amaçlıyor. Tersine çevrildi.
Siber güvenlik firması ThreatMon, etkinliği şu şekilde izlenen bir tehdit aktörüne bağladı: Yan Kopya.
SideCopy, Transparent Tribe adlı başka bir aktörle örtüşen Pakistan kökenli bir tehdit grubudur. Kendi kötü amaçlı yazılımını yaymak için SideWinder ile ilişkili enfeksiyon zincirlerini taklit ettiği için bu adı almıştır.
Rakip ekibin ReverseRAT’ı ilk kez 2021’de Lumen’in Black Lotus Labs’ın Hindistan ve Afganistan’daki hükümet ve elektrik hizmeti dikeyleriyle uyumlu kurbanları hedef alan bir dizi saldırıyı ayrıntılı olarak açıkladığında gözlemlendi.
SideCopy ile ilişkili son saldırı kampanyaları, gözlerini öncelikle Hindistan hükümet yetkilileri tarafından kullanılan Kavach (Hintçe’de “zırh” anlamına gelir) olarak bilinen iki faktörlü bir kimlik doğrulama çözümüne dikti.
ThreatMon tarafından belgelenen bulaşma yolculuğu, makro özellikli bir Word belgesi (“Cyber Advisory 2023.docm”) içeren bir kimlik avı e-postasıyla başlar.
Dosya, Hindistan İletişim Bakanlığı’ndan “Android Tehditleri ve Önlemeleri” hakkında sahte bir tavsiye kılığına giriyor. Bununla birlikte, içeriğin çoğu, departman tarafından Temmuz 2020’de en iyi siber güvenlik uygulamaları hakkında yayınlanan gerçek bir uyarıdan kelimesi kelimesine kopyalanmıştır.
Dosya açıldıktan ve makrolar etkinleştirildikten sonra, güvenliği ihlal edilmiş sistemde ReverseRAT’ın konuşlandırılmasına yol açan kötü amaçlı kodun yürütülmesini tetikler.
Şirket geçen hafta yayınlanan bir raporda, “ReverseRAT kalıcılık kazandığında, kurbanın cihazını numaralandırıyor, verileri topluyor, RC4 kullanarak şifreliyor ve komut ve kontrol (C2) sunucusuna gönderiyor” dedi.
“Komutların hedef makinede yürütülmesini bekler ve bazı işlevleri arasında ekran görüntüsü alma, dosyaları indirme ve yürütme ve dosyaları C2 sunucusuna yükleme yer alır.”