Pakistan ile bağları olan bir tehdit aktörü, Hindistan’da Xeno Rat, Spark Rat ve daha önce belgelenmemiş bir kötü amaçlı yazılım ailesi gibi çeşitli uzaktan erişim truva atları ile çeşitli sektörleri hedefleyen gözlendi. Curlback faresi.
Aralık 2024’te Seqrite tarafından tespit edilen faaliyet, demiryolu, petrol ve gaz ve dış işler bakanlıkları altındaki Hindistan kuruluşlarını hedef aldı ve hack ekibinin hükümet, savunma, deniz sektörleri ve üniversitelerin ötesinde ayak izinin genişlemesini işaret etti.
Güvenlik araştırmacısı Sathwik Ram Prakki, “Son kampanyalarda önemli bir değişiklik, HTML Uygulaması (HTA) dosyalarını kullanmaktan Microsoft Yükleyici (MSI) paketlerini birincil evreleme mekanizması olarak benimsemeye geçişdir.” Dedi.
Sepetopinin, en az 2019’dan beri aktif olan şeffaf kabile (AKA Apt36) içinde bir alt küme olduğundan şüpheleniliyor. Kendi yüklerini teslim etmek için SideWinder adlı başka bir tehdit aktörüyle ilişkili saldırı zincirlerini taklit etmek için adlandırıldı.
Haziran 2024’te Seqrite, Sidecopy’nin gizlenmiş HTA dosyalarını kullanımını vurguladı ve daha önce yan kayma saldırılarında gözlemlenen teknikleri kaldırdı. Dosyaların ayrıca SideWinder tarafından kullanılan RTF dosyalarını barındıran URL’lere referanslar içerdiği bulunmuştur.
Action sıçan ve Reverserat’ın konuşlandırılmasıyla sonuçlanan saldırılar, sepet kopyasına atfedilen bilinen iki kötü amaçlı yazılım ailesi ve Cheex de dahil olmak üzere belgeleri ve görüntüleri çalmak için bir USB fotokopi ve ekli sürücülerden gelen verileri sifonlu bir USB kopyası.
Sıçan, Asyncrat’tan ödünç alınan bir özellik olan tüm hesaplar, profiller ve çerezlerin hem Firefox hem de krom tabanlı tarayıcı verilerini çalacak şekilde donatılmıştır.
Seqrite, “APT36 Focus büyük ölçüde Linux sistemleridir, sepetopi ise cephaneliğine yeni yükler ekleyen Windows sistemlerini hedefliyor.”
En son bulgular, hack grubunun sürekli olgunlaşmasını, kendi başına bir dağıtım vektörü olarak e-posta tabanlı kimlik avından yararlanıyor. Bu e -posta mesajları, demiryolu personeli için tatil listelerinden Hindustan Petroleum Corporation Limited (HPCL) adlı bir kamu sektörü tarafından verilen siber güvenlik yönergelerine kadar çeşitli cazibe belgeleri içerir.
Bir etkinlik kümesi, hem Windows hem de Linux sistemlerini hedefleme yeteneği göz önüne alındığında, sonuçta Spark Rat olarak bilinen bir platform uzaktan erişim truva atının ve sistem bilgilerini toplayabilen, ev sahiplerinden dosyaları indirebilen, hakemlik komutlarını yürütebilen, yükseltme ve liste kullanıcı hesaplarını listeleyebilen yeni bir Windows tabanlı kötü amaçlı yazılım kodlu curlback sıçanının dağıtılmasına yol açar.
Yumuşma dosyaları kullanılarak, temel dize manipülasyon yöntemlerini içeren Xeno Rat’ın özel bir sürümünü bırakan çok aşamalı bir enfeksiyon işlemi başlatmanın bir yolu olarak ikinci bir küme gözlemlenmiştir.
Şirket, “Grup, HTA dosyalarını kullanmaktan MSI paketlerine birincil evreleme mekanizması olarak değişti ve Powershell üzerinden DLL yan yükleme, yansıtıcı yükleme ve AES şifre çözme gibi gelişmiş teknikler kullanmaya devam ediyor.” Dedi.
“Ek olarak, Xeno Rat ve Spark Sıçan gibi özelleştirilmiş açık kaynaklı araçlardan ve yeni tanımlanan Curlback sıçanını dağıtıyorlar. Grubun kalıcılığı ve evade tespitini arttırmak için devam eden çabalarını vurgulayarak, kimlik bilgisi ve yük barındırma için tehlikeye atılmış alanlar ve sahte siteler kullanılmaktadır.”