Pakistan bağlantılı sepetli Sepetin Gelişmiş Kalıcı Tehdit (APT) grubu tarafından sofistike bir kampanya, Aralık 2024’ün sonlarından bu yana, kritik Hindistan hükümet sektörlerini gelişmiş taktiklerle hedef alan ortaya çıktı.
Grup, geleneksel savunma ve deniz sektörlerinin ötesindeki kapsamını, siber casusluk faaliyetlerinin endişe verici bir şekilde genişletilmesini gösteren demiryolu, petrol ve gaz ve dış iş bakanlıkları altındaki varlıkları da içerecek şekilde önemli ölçüde genişletti.
Saldırganlar, kötü amaçlı indirme bağlantıları içeren “Tartışıldığı gibi NDC 65 için Güncelleme Çizelgesi” ve “Bu Kurs için Politika Güncellemesi” gibi konularla mızrak-aktı e-postaları gönderir.
.png
)
.webp)
Bu e -postalar, meşru hükümet kuruluşlarını taklit eden özenle hazırlanmış alanlardan kaynaklanmaktadır.
Dikkate değer bir e -posta adresi, “[email protected]”10 Ocak 2025’te BAE’de oluşturuldu ve 28 Şubat 2025’e kadar aktif kaldı ve meşru bir Ulusal Bilişim Merkezi e -posta adresini taklit etti.[email protected]”Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı ile ilişkili.
.webp)
Sidecopy’nin evrimi, HTML Uygulaması (HTA) dosyalarını kullanmaktan Microsoft Yükleyici (MSI) paketlerini birincil evreleme mekanizmaları olarak benimsemeye kadar önemli bir kayma içerir.
Bu taktiksel değişiklik, grubun hem Windows hem de Linux ortamlarında DLL yan yükleme ve çok platformlu müdahaleler yoluyla hedeflenen sistemleri tehlikeye atma yeteneklerini korurken algılamadan kaçınma çabalarını göstermektedir.
Seqrite laboratuvarları APT araştırmacıları, tehdit aktörlerinin, Asyncrat ile önceki trendlerini takip ederek yeteneklerini genişletmek için Xenorat ve Sparkrat gibi açık kaynaklı araçlardan yararlandıklarını belirlediler.
Ek olarak, “Curlback Rat” olarak adlandırılan daha önce belgelenmemiş bir yük yükü, benzersiz tanımlayıcılar kullanarak kurban sistemlerini komuta ve kontrol (C2) sunucuları ile kaydettirdiği keşfedildi.
.webp)
Araştırmacılar ayrıca, bir e-yönetişim hizmeti portalını taklit eden sahte bir alanın, Maharashtra Eyaletindeki çeşitli şehir belediye şirketlerini hedefleyen birden fazla kimlik avı giriş sayfasına ev sahipliği yaptığını ve şüphesiz hükümet çalışanlarından kimlik bilgilerini toplamak için tasarlanmış on üç alt alanda bulunduğunu ortaya çıkardılar.
Enfeksiyon zinciri
Enfeksiyon zinciri, bir kurban, çift uzantı kısayollarıyla (.pdf.lnk) arşiv dosyalarını indirmek için bağlantılar içeren bir mızrak aktı e-postası aldığında başlar.
.webp)
Bu kısayollar, Su Kaynakları Bakanlığı kapsamında resmi bir Ulusal Hidroloji Projesi web sitesi de dahil olmak üzere, tehlikeye atılmış alanlarda barındırılan MSI paketlerini indirip yükleyen gizli komutlar yürütür.
.webp)
Teslim edilen yükleri incelerken, özellikle sofistike bir mekanizma, PowerShell tabanlı AE’lerin gömülü kaynakların şifre çözülmesini içerir. Kod, saldırganların özel Xenorat varyantlarını nasıl dağıttığını ortaya koyuyor:-
$EKeyB = [Convert]::FromBase64String($EKey)
$EB = [System.IO.File]::ReadAllBytes($EPath)
$Iv = $EB[0..15]
$EncryptedData = $EB[16..($EB.Length - 1)]
$AesAlg = [System.Security.Cryptography.Aes]::Create()
$AesAlg.Key = $EKeyB
$AesAlg.IV = $Iv
$AesAlg.Mode = [System.Security.Cryptography.CipherMode]::CBC
$AesAlg.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7
$Decryptor = $AesAlg.CreateDecryptor()
$DecryptedBytes = $Decryptor.TransformFinalBlock($EncryptedData, 0, $EncryptedData.Length)
$Assembly = [System.Reflection.Assembly]::Load($DecryptedBytes)Bu şifre çözme rutini, son Xenorat yükünü doğrudan belleğe yükleyerek disk tabanlı algılama yöntemlerini atlar.
Kötü amaçlı yazılım, meşru Windows işlemleri olarak gizlenmiş planlanmış görevler yoluyla kalıcılık oluşturur ve “Update.widgetserviceCenter.com” ve “Update.biossySinternal.com” gibi alanlarda barındırılan komut ve kontrol sunucularıyla iletişim kurar.
Devam eden kampanya, devlet destekli tehdit aktörlerinin taktiklerini nasıl geliştirmeye devam ettiklerini ve operasyonel esnekliği korumak ve kalkınma maliyetlerini azaltmak için açık kaynaklı araçlardan yararlanarak hükümet ağlarını koruyan savunucular için sürekli bir zorluk sunarak nasıl taktiklerini gösteriyor.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial