Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

SloppyLemming атакует энергетический сектор

27/09/24

sf-lemming

Специалисты в области веб-инфраструктуры и безопасности из компании Cloudflare выявили активность продвинутой группы хакеров, связанных с Индией, которую назвали SloppyLemming (также известна как Outrider Tiger и Fishing Elephant). Эта группировка использует сервисы облачных провайдеров для сбора данных учётных записей, распространения вредоносного ПО и управления атаками, пишет Securitylab.

С конца 2022 года SloppyLemming регулярно применяет Cloudflare Workers для проведения кибершпионажа, направленного на Южную и Восточную Азию. Известно, что группа действует как минимум с июля 2021 года, ранее используя вредоносное ПО Ares RAT и WarHawk. Последнее связано с известной хакерской группировкой SideWinder, а Ares RAT — с угрозой SideCopy, которая, вероятно, имеет пакистанское происхождение.

Целями атак SloppyLemming становятся государственные учреждения, правоохранительные органы, энергетические и технологические компании, а также образовательные и телекоммуникационные организации в Пакистане, Шри-Ланке, Бангладеш, Китае, Непале и Индонезии. Основной метод атак — фишинговые письма, побуждающие жертв нажать на вредоносную ссылку якобы для выполнения обязательного действия в течение 24 часов.

Переход по ссылке приводит к странице, предназначенной для кражи учётных данных, после чего злоумышленники получают несанкционированный доступ к корпоративной электронной почте. Для реализации этой атаки SloppyLemming использует инструмент CloudPhish, который создаёт вредоносные Cloudflare Workers и перехватывает данные учётных записей.

Также зафиксированы случаи, когда хакеры использовали уязвимость в WinRAR ( CVE-2023-38831 ) для удалённого выполнения кода, отправляя заражённые RAR-архивы, маскирующиеся под файлы из приложения для сканирования CamScanner. Внутри архива находится исполняемый файл, загружающий троян с Dropbox.

Ранее, в аналогичной кампании SideCopy, хакеры распространяли Ares RAT с использованием ZIP-архивов под названием «DocScanner_AUG_2023.zip» и «DocScanner-Oct.zip». Целью атаки тогда были индийские государственные и оборонные ведомства.

Третий метод заражения от SloppyLemming предполагает перенаправление жертв на поддельный сайт, имитирующий официальный ресурс Совета информационных технологий Пенджаба в Пакистане. После этого пользователей перенаправляют на другой сайт, где они скачивают вредоносный ярлык, ведущий к исполняемому файлу «PITB-JR5124.exe». Этот файл запускает загрузку вредоносной DLL-библиотеки, которая связывается с Cloudflare Workers для передачи данных злоумышленникам.

По информации Cloudflare, хакеры из SloppyLemming активно атакуют полицию и другие правоохранительные структуры Пакистана, а также организации, связанные с эксплуатацией единственной в стране ядерной электростанции. Кроме того, среди целей группы — военные и правительственные учреждения Шри-Ланки и Бангладеш, а также китайские компании энергетического и образовательного секторов.

Темы:Облачные технологииПреступленияИндияCloudflare
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...