15/02/22
Специалисты ИБ-компании SentinelLabs раскрыли деятельность APT-группы, получившей название ModifiedElephant. Группировка активна уже десять лет и действует, предположительно, в интересах правительства Индии. Она специализируется на целенаправленных атаках на активистов, правозащитников, ученых и адвокатов в Индии, и «работает» по сей день.
Арсенал ModifiedElephant состоит из коммерческих троянов для удаленного доступа (RAT), и, по мнению исследователей, группировка может быть тесно связана с отраслью коммерческого шпионского ПО.
С помощью фишинговых писем с вредоносным документом Microsoft Office злоумышленники заражают системы жертв вредоносным ПО NetWire (для Android), DarkComet (оба вредоноса публично доступны и уже давно используются киберпреступниками разного уровня навыков) и простыми кейлоггерами. Эти кейлоггеры написаны на Visual Basic и не являются впечатляющими с технической точки зрения. Более того, они настолько непродуманные, что в настоящее время уже не работают.
Заражение системы жертвы вредоносным ПО происходит через уязвимости CVE-2012-0158 , CVE-2014-1761 , CVE-2013-3906 и CVE-2015-1641 .
Целью злоумышленников является проведение продолжительных операций по сбору компромата на определенных лиц, который впоследствии можно было бы предъявить в качестве доказательств их вины в уголовных преступлениях.
«Внимательно изучив вредоносные кампании за последние десять лет, мы выявили сотни групп лиц, атакованных в ходе фишинговых кампаний ModifiedElephant. Чаще остальных атакам подвергались активисты, правозащитники, журналисты, ученые и юристы в Индии», - говорится в отчете SentinelLabs.
