Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
SideCopy APT, DRDO’ya Spear-Phishing Saldırısında Sahte Belgeleri Kullandı
Jayant Chakraborty (@JayJay_Tech) •
23 Mart 2023
Güvenlik araştırmacıları, Hindistan Savunma Araştırma ve Geliştirme Teşkilatındaki çalışanları hedef alan ve hassas askeri sırları çalmak için yeni taktikler kullanan Pakistanlı bir siber casusluk grubunu ortaya çıkardı.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Siber güvenlik kuruluşu Cyble, Pakistanlı siber casusluk grubu SideCopy APT’nin görünüşe göre Hindistan hükümetinin önde gelen savunma teknolojisi araştırma ajansını hedef aldığını söyledi.
Araştırmacılar, SideCopy APT’nin bilgi çalma amaçlı kötü amaçlı yazılım yerleştirmek için araştırma materyallerini yem olarak kullanmasını izledi. DRDO, Hindistan silahlı kuvvetlerine en son askeri teknolojileri geliştirmek, test etmek ve tedarik etmek için Hindistan genelinde 52 laboratuvar ağını ve 5.000’den fazla bilim insanından oluşan bir havuzu kullanıyor.
SideCopy APT, ilk girişi elde etmek için geleneksel olarak hedef odaklı kimlik avını kullanır. Son kampanyadaki e-postaların, ek olarak gönderilen askeri teknolojiler hakkında araştırma materyalleri içerdiği iddia ediliyor.
Cyble, bir DRDO çalışanına gönderilen bir kimlik avı e-postasının, adlı bir LNK dosyasını içeren kötü amaçlı bir zip eki taşıdığını söyledi. DRDO – K4 Missile Clean room.pptx.lnk. K4, DRDO tarafından geliştirilen, nükleer kapasiteli, denizaltından fırlatılan bir balistik füzedir.
Bu kimlik avı saldırısı diğer saldırılardan farklıydı çünkü zip dosyası K4 füzesi hakkında gerçek bilgiler içeren bir PowerPoint dosyası içeriyordu. Bulaşma zinciri, kullanıcının dosyayı ayıklaması ve .lnk dosyasını çalıştırmasıyla başlar. Bu, slayt sunumunu açan bir HTML uygulamasını indirir.
Ayrıca, birden çok HTML uygulamasını içeren bir birleştirme işlemi başlatır ve sonuçta, dosyaları temel Windows bileşenlerini taklit eden adlarla işletim sistemine yüklenen Action Rat Kötü Amaçlı Yazılımının bir çeşidinin bırakılmasıyla sonuçlanır.
Kötü amaçlı yazılımın yetenekleri, belirli dosyalar hakkında bilgi edinme veya alma, mevcut sürücüler hakkında bilgi, ek yükler yükleme ve dosyaları komut ve kontrol sunucusuna iletmeyi içerir.
Cyble araştırmacıları, Information Security Media Group’a SideCopy APT’nin Hint kökenli olduğuna inanılan bir tehdit grubu olan Sidewinder APT’nin taktiklerini taklit ettiğini söyledi. “Bu grubun özellikle Hindistan ve Afganistan’daki hükümet ve askeri yetkilileri hedef aldığı gözlemlendi ve cephaneliğine yeni araçlar dahil ederken tekniklerini sürekli olarak geliştiriyor” dediler.
SideCopy APT daha önce benzer taktikler kullanarak Hindistan Ordusunu, Hindistan Ulusal Harbiyeli Kolordusu’nu ve Ulusal Eğitim Araştırma ve Öğretim Konseyi’ni hedef almıştı (bakınız: Rapor: SideCopy APT Son Saldırılarda Yeni Taktikler Kullandı).
Malwarebytes, 2021’de grubun “ERE birimlerinin e-posta tesisi adres listesi: 20 Eylül 2021” adlı sahte bir PDF dosyasını kullanarak Hint Ordusu varlıklarını hedef aldığını tespit etti. Tehdit grubu, NCERT’yi hedef aldığında “Değerleri yaşamak, taban liderliğine bir değer-anlatı” yem dosyasını da kullandı.