Hindistan devlet kurumları ve savunma sektörü, istihbarat toplamak amacıyla Rust tabanlı kötü amaçlı yazılımları ortadan kaldırmak üzere tasarlanmış bir kimlik avı kampanyasının hedefi oldu.
İlk olarak Ekim 2023’te tespit edilen aktiviteye kod adı verildi. RusticWeb Operasyonu kurumsal güvenlik firması SEQRITE tarafından.
Güvenlik araştırmacısı Sathwik Ram Prakki, “Gizli belgeleri özel bir komuta ve kontrol (C2) sunucusu yerine web tabanlı bir hizmet motoruna sızdırmak için yeni Rust tabanlı veriler ve şifrelenmiş PowerShell komutları kullanıldı” dedi.
Küme ile her ikisinin de Pakistan ile bağlantılı olduğu değerlendirilen Transparent Tribe ve SideCopy takma adları altında geniş çapta takip edilenler arasında taktiksel örtüşmeler ortaya çıkarıldı.
SideCopy’nin aynı zamanda Transparent Tribe içinde şüpheli bir alt unsur olduğu da belirtiliyor. Geçen ay SEQRITE, tehdit aktörünün AllaKore RAT, Ares RAT ve DRat gibi çok sayıda truva atı yaymak için Hindistan hükümet kurumlarını hedef alan çok sayıda kampanyasını ayrıntılarıyla anlattı.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
ThreatMon tarafından belgelenen diğer yeni saldırı zincirleri, kötü amaçlı yazılım dağıtımı için sahte Microsoft PowerPoint dosyalarının yanı sıra CVE-2023-38831’e duyarlı özel hazırlanmış RAR arşivlerini kullanarak dizginsiz uzaktan erişim ve kontrol sağlıyor.
ThreatMon bu yılın başlarında “SideCopy APT Group’un enfeksiyon zinciri, her biri başarılı bir uzlaşma sağlamak için dikkatlice düzenlenen çok sayıda adımdan oluşuyor” dedi.
En son saldırı dizisi, kimlik avı e-postasıyla başlıyor ve kurbanları, sahte dosyayı kurbana görüntülerken arka planda dosya sistemini numaralandırmak için Rust tabanlı yükleri bırakan kötü amaçlı PDF dosyalarıyla etkileşime girmeleri için kandırmak üzere sosyal mühendislik tekniklerinden yararlanıyor.
Kötü amaçlı yazılım, ilgilenilen dosyaları toplamanın yanı sıra, sistem bilgilerini toplayacak ve bunları C2 sunucusuna aktaracak donanıma sahiptir, ancak yeraltı siber suçlarında mevcut olan diğer gelişmiş hırsız kötü amaçlı yazılımların özelliklerinden yoksundur.
Aralık ayında SEQRITE tarafından tanımlanan ikinci bir enfeksiyon zinciri de benzer çok aşamalı bir süreç kullanıyor ancak Rust kötü amaçlı yazılımını, numaralandırma ve sızma adımlarını halleden bir PowerShell komut dosyasıyla değiştiriyor.
Ancak ilginç bir değişiklikle, son aşamadaki veri yükü, “Cisco AnyConnect Web Yardımcısı” adıyla anılan bir Rust yürütülebilir dosyası aracılığıyla başlatılıyor. Toplanan bilgiler en sonunda Oshi’ye yüklenir.[.]etki alanında, OshiUpload adı verilen anonim bir genel dosya paylaşım motoru.
Ram Prakki, “RusticWeb Operasyonu, Pakistan bağlantılı çeşitli gruplarla benzerlikler taşıdığından dolayı bir APT tehdidiyle bağlantılı olabilir” dedi.
Açıklama, Cyble’ın DoNot Ekibi tarafından Hindistan’ın Keşmir bölgesindeki bireyleri hedef alan kötü amaçlı bir Android uygulamasını ortaya çıkarmasından yaklaşık iki ay sonra geldi.
APT-C-35, Origami Elephant ve SECTOR02 isimleriyle de bilinen ulus devlet aktörünün Hindistan kökenli olduğuna inanılıyor ve Keşmir ve Pakistan’daki insanlara ait cihazlara sızmak için Android kötü amaçlı yazılım kullanma geçmişine sahip.
Cyble tarafından incelenen varyant, ses ve VoIP aramalarını kaydetmek, ekran görüntüleri yakalamak, çeşitli uygulamalardan veri toplamak için çok çeşitli casus yazılım özellikleriyle donatılmış olarak gelen “QuranApp: Oku ve Keşfet” adlı açık kaynaklı bir GitHub projesinin truva atı haline getirilmiş bir versiyonudur. ek APK dosyaları indirin ve kurbanın konumunu izleyin.
Cyble, “DoNot grubunun araç ve tekniklerini geliştirmeye yönelik aralıksız çabaları, özellikle Hindistan’ın hassas Keşmir bölgesindeki bireyleri hedef alma konusunda oluşturdukları süregelen tehdidin altını çiziyor” dedi.