Stri Lanka, Bangladeş, Pakistan ve Türkiye genelinde askeri personel ve savunma organizasyonlarını hedefleyen kapsamlı bir casusluk kampanyası yürütüyor.
Tehdit oyuncusu, askeri bağımlı bireylerin mobil cihazlarını tehlikeye atmak için hedeflenen kimlik avı operasyonlarını yeni Android kötü amaçlı yazılımlarla birleştiren çok aşamalı bir saldırı çerçevesi kullandı.
Kampanya, meşru bulut hizmetleri ve tespitten kaçınmak için değiştirilmiş açık kaynaklı araçlar kullanarak yüksek düzeyde operasyonel güvenlik ve teknik karmaşıklığı göstermektedir.
.webp)
Saldırı zinciri, resmi askeri belgeler olarak gizlenmiş kötü niyetli PDF ekleri içeren yüksek hedefli kimlik avı e -postalarıyla başlar.
“Ordu Şefi Personelinin Çin’e Ziyaretinin Koordinasyonu” (MD5: CF9914ECA9F8AE90DDDDDD54875506459D6) başlıklı dikkate değer bir örnek, grubun sosyal mühendislik taktiklerini örneklendirir.
Bu belgeler, kurbanları, meşru hükümeti ve askeri e-posta portallarını yakından taklit eden Mail-Mod-gov-bd-Account-conf-files.netlify.app ve coordination-cas-visit.netlify.app dahil olmak üzere, tehlikeye atılmış ağ alanlarında barındırılan kimlik bilgisi hasat sayfalarına yönlendirir.
Strikeready analistleri, paylaşılan kod öğeleri ve etki alanı kayıt kalıplarını değiştirerek tehdit oyuncunun altyapısını belirledi.
Araştırmacılar, Bangladeş Hava Kuvvetleri, Savunma Genel Müdürlüğü (DGDP) ve Roketsans ve Aselsan gibi Türk savunma müteahhitleri de dahil olmak üzere çeşitli Güney Asya askeri ve hükümet kuruluşlarını sahte olarak 50’den fazla kötü niyetli alandan oluşan bir ağ keşfettiler.
Grubun en çok ilgili yeteneği, açık kaynaklı Rafel Rat çerçevesine dayanan değiştirilmiş Android uzaktan erişim Truva atlarının (sıçanlar) dağıtımını içerir.
Love_chat.apk (MD5: 9A7510EEF40D63CA5AB826B1E9DAB) gibi APK dosyaları aracılığıyla dağıtılan kötü amaçlı yazılımlar, tehlikeli cihazlara kalıcı arka kapı erişimi oluştururken meşru sohbet uygulamaları olarak maskelenir.
Ayrıştırılmış uygulamanın analizi, komut ve kontrol sunucularına çeşitli belge türlerini yüklemek için programlanmış kötü amaçlı yazılımlarla kapsamlı veri açığa çıkma özelliklerini ortaya koymaktadır.
Android sıçan altyapısı
Android bileşeni, grubun yeteneklerinde önemli bir evrimi temsil eder ve sofistike mobil kötü amaçlı yazılım geliştirme becerileri gösterir.
Tehdit oyuncusu, orijinal Rafel Rat kaynak kodunu değiştirerek, atıf kredilerini kaldırdı ve Quickhelpsolve.com ve Kutcat-rat.com gibi alanlar aracılığıyla özel komut ve kontrol iletişimini uyguladı.
.webp)
Kötü amaçlı yazılım, add_device_admin, read_external_storage, manage_app_all_files_access_permission ve read_contacts gibi tehlikeli izinler talep eder ve kapsamlı cihaz uzlaşmasını sağlar.
C2 altyapısı, birincil komut uç noktası https://quickhelpsolve.com/public/commands.php adresinde bulunan Base64 kodlu iletişim kanallarını kullanır.
Bu merkezi kontrol mekanizması, operatörlerin tehlikeye atılan cihazlara keyfi komutlar vermesini, çalınan verileri toplamasını ve mağdur ağlarına kalıcı erişimi sürdürmesini sağlar.
Güvenlik araştırmacıları, tehdit aktörlerinin, SMS mesajları, askeri rütbeler ve görev istasyonları içeren iletişim listeleri ve hassas organizasyonel belgeler de dahil olmak üzere çalınan verilerle birden fazla ülkede askeri personelden başarılı bir şekilde tehlikeye attığını keşfetti.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.