印度政府实体和国防部门已成为网络钓鱼活动的目标,该活动旨在投放基于 Rust 的恶意软件以进行情报收集。
该活动于 2023 年 10 月首次检测到,企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。
安全研究员 Sathwik Ram Prakki表示:“新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务器,而不是专用的命令和控制 (C2) 服务器。”
该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠,这两个集群均被评估为与巴基斯坦有关。
SEQRITE详细介绍了该黑客组织针对印度政府机构发起的多次活动,以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。
ThreatMon 记录的其他近期攻击链采用了 Microsoft PowerPoint 文件诱饵以及易受CVE-2023-38831影响的特制 RAR 存档来进行恶意软件传播,从而实现不受限制的远程访问和控制。
ThreatMon今年早些时候指出:“SideCopy APT 组织的感染链涉及多个步骤,每个步骤都经过精心策划,以确保成功入侵。”
最新的一组攻击从网络钓鱼电子邮件开始,利用社会工程技术诱骗受害者与恶意 PDF 文件进行交互,这些文件会丢弃基于 Rust 的有效负载,用于在后台枚举文件系统,同时向受害者显示诱饵文件。
除了收集感兴趣的文件外,该恶意软件还可以收集系统信息并将其传输到 C2 服务器,但缺乏地下网络犯罪中其他高级窃取恶意软件的功能。
SEQRITE 在 12 月发现的第二条感染链采用了类似的多阶段过程,但用负责枚举和渗透步骤的 PowerShell 脚本替换了 Rust 恶意软件。
但有趣的是,最后阶段的有效负载是通过名为“Cisco AnyConnect Web Helper”的 Rust 可执行文件启动的。收集到的信息最终上传到 oshi[.]at 域,这是一个名为OshiUpload的匿名公共文件共享引擎。
Ram Prakki 表示:“RusticWeb 行动可能与 APT 威胁有关,因为它与多个与巴基斯坦有关的组织有相似之处。”
近两个月前,Cyble 发现了DoNot 团队针对印度克什米尔地区个人使用的恶意 Android 应用程序。
攻击者也被称为 APT-C-35、Origami Elephant 和 SECTOR02,据信是印度裔,有利用Android 恶意软件渗透克什米尔和巴基斯坦移动设备的历史。
Cyble 检查的变种是名为“QuranApp: Read and Explore”的开源 GitHub 项目的木马版本,该项目配备了各种间谍软件功能,可以记录音频和 VoIP 通话、捕获屏幕截图、从各种应用程序收集数据,下载其他 APK 文件并跟踪受害者的位置。
Cyble表示:“DoNot 组织不断努力改进其工具和技术,这突显了他们所构成的持续威胁,特别是针对印度敏感的克什米尔地区的个人。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/QqxasjwJAo9KoQ03VkllxA
封面来源于网络,如有侵权请联系删除