Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Пакистанский бэкдор шпионит за госслужащими Индии

26/12/23

indian-enterprises-easy-prey-for-pakistani-hackers-showcase_image-10-p-2229

Индийские госструктуры и оборонная отрасль стали целью хакерской атаки, использующей фишинг и вредоносное ПО на основе Rust для разведки. Кампания, обнаруженная в октябре 2023 года и получившая название Operation RusticWeb, была выявлена ИБ-компанией SEQRITE.

Согласно отчёту SEQRITE, для кражи конфиденциальных документов были задействованы новые полезные нагрузки на основе Rust и зашифрованные команды PowerShell. Они передают собранную информацию не на традиционный сервер управления и контроля (Command and Control, C2), а на веб-сервис, пишет Securitylab.

Анализ показал тактические связи между обнаруженной кампанией и деятельностью групп Transparent Tribe и SideCopy, предположительно связанных с Пакистаном. По данным SEQRITE, SideCopy, возможно, подчиняется Transparent Tribe. В последней кампании группировки против индийских госорганов использовались трояны AllaKore RAT, Ares RAT и DRat.

ThreatMon отметил, что недавние атаки включали использование поддельных файлов PowerPoint и специально подготовленных архивов RAR, уязвимых к CVE-2023-38831, что позволяло злоумышленникам получить полный удаленный доступ и контроль над устройством.

Цепочка заражения SideCopy APT Group включает в себя несколько этапов, каждый из которых тщательно организован для обеспечения успешного взлома. Последний набор атак начинается с фишингового электронного письма, в котором используются методы социальной инженерии, чтобы обманом заставить жертв взаимодействовать с вредоносным PDF-файлом, который доставляет полезные данные на основе Rust для сканирования файловой системы, в то время как жертвам показывается поддельный документ.

Вирус собирает файлы и информацию о системе, отправляя их на C2-сервер. Однако, по словам экспертов, вредоносное ПО не имеет функционала более продвинутых вредоносных программ, доступных на киберпреступном рынке.

Другая цепочка заражения, обнаруженная SEQRITE в декабре, также многоступенчатая, но в ней Rust-вирус заменен на скрипт PowerShell. В конце цепочки заражения используется исполняемый файл Rust под названием «Cisco AnyConnect Web Helper». Собранные данные отправляются на домен «oshi[.]at», публичный файловый сервис OshiUpload.

Темы:ПреступленияИндияфишингКибератакибэкдор
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...