15/04/25
.jpg?width=420&height=254&name=indian-enterprises-easy-prey-for-pakistani-hackers-showcase_image-10-p-2229%20(2).jpg)
Хакерская группировка, связанная с Пакистаном, расширила спектр своих атак против индийских организаций, начав использовать ранее неизвестное вредоносное ПО CurlBack RAT и кроссплатформенный Spark RAT. Об этом сообщили специалисты SEQRITE, зафиксировавшие активность в декабре 2024 года.
В зоне риска оказались учреждения, относящиеся к железнодорожному сектору, нефтегазовой отрасли и МИД Индии, что свидетельствует о заметном расширении целей — ранее атаки ограничивались оборонными структурами, университетами и морскими учреждениями. Это пишет Securitylab.
На фоне активности особенно выделяется переход злоумышленников от привычных HTA-файлов к установочным пакетам MSI в качестве основного механизма доставки вредоносного кода. Это изменение может указывать на стремление обойти улучшенные средства защиты, установленные в системах Windows, и свидетельствует о росте технической зрелости группы.
Подозревается, что атаки связаны с кластером SideCopy — подразделением более широкой группировки Transparent Tribe (APT36) . SideCopy получил своё название из-за копирования тактик другой известной группы — SideWinder, включая методы доставки вредоносного кода через HTA-файлы и RTF-документы, размещённые на заранее подготовленных URL.
В июне 2024 года SEQRITE уже фиксировала активность SideCopy с использованием запутанных HTA-файлов, заимствованных у SideWinder. В новых атаках наблюдается не только разнообразие методов, но и арсенала вредоносных программ. Помимо Action RAT и ReverseRAT, группа использует утилиту Cheex для кражи документов и изображений, средство для копирования с USB-накопителей и модифицированную версию Geta RAT, которая поддерживает выполнение более 30 команд от удалённого сервера.
Geta RAT, в свою очередь, заимствует функции у известного AsyncRAT, включая возможность кражи данных всех профилей и куки из браузеров на базе Chromium и Firefox. Особенность архитектуры SideCopy — ориентированность на системы Windows, в отличие от APT36, чаще атакующей Linux-инфраструктуру.
Новые атаки базируются на фишинговых письмах с вложениями, замаскированными под документы с расписаниями выходных для железнодорожников или инструкциями по кибербезопасности от государственных компаний, например, HPCL. Один из кластеров внедряет Spark RAT, способный работать как на Windows, так и на Linux. Другой — распространяет CurlBack RAT, ориентированный на Windows-системы.
CurlBack RAT может собирать информацию о системе, скачивать файлы, запускать команды, повышать привилегии и перечислять пользователей. Параллельно с ним применяется Xeno RAT — модифицированный инструмент с минимальной обфускацией, использующий простые методы манипуляции строками.
