Контакты
Подписка 2024
Виртуализация
18 июня. Российские платформы виртуализации: безопасность, производительность, управление
Регистрируйтесь на онлайн-конференцию!

Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии

21/02/23

images (9)

ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy.

SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe. Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.

Обнаруженная кампания SideCopy использует программу для двухфакторной аутентификации Kavach, которое используется индийскими госслужащими. Цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов («Cyber ​​Advisory 2023.docm»).

Файл имитирует рекомендацию Министерства связи Индии об угрозах на устройства Android и реагирование на них («Android Threats and Prevention»). Кроме того, большая часть контента была скопирована из реального предупреждения Министерства.

После открытия файла и включения макросов выполняется вредоносный код, который приводит к развертыванию ReverseRAT в скомпрометированной системе. Как только ReverseRAT получает постоянство, он перечисляет устройства жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на сервер управления и контроля (C2, C&C). Бэкдор ожидает выполнения команд на целевой машине, и некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также эксфильтрацию файлов на сервер C2.

Бэкдор ReverseRAT впервые был обнаружен в 2021 году компанией Black Lotus Labs. Тогда эксперты пояснили, что операторы трояна нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии.

С 2020 года SideWinder, с которой связана группа SideCopy, совершила серию из 1000 атак , применяя все более изощренные методы кибератак. В 2022 году «Лаборатория Касперского» рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Считается, что группировка связана с правительством Индии, но ЛК утверждает, что группировка не относится к какой-либо стране.

Темы:ПреступленияИндияRAT-трояныгосударственные кибератаки
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...