Entidades de alto perfil na Índia tornaram-se alvo de campanhas maliciosas orquestradas pelo grupo de ameaças Transparent Tribe, sediado no Paquistão, e um grupo de espionagem cibernética com conexões na China até então desconhecido, apelidado de IcePeony.
As intrusões ligadas ao Transparent Tribe envolvem o uso de um malware chamado ElizaRAT e um novo payload de roubo apelidado de ApoloStealer em vítimas específicas de interesse, conforme relatado pela Check Point em um documento técnico publicado esta semana.
"As amostras de ElizaRAT indicam um abuso sistemático de serviços baseados em nuvem, incluindo Telegram, Google Drive e Slack, para facilitar as comunicações de comando e controle (C2)", disse a empresa israelense.
ElizaRAT é uma ferramenta de acesso remoto (RAT) para Windows que o Transparent Tribe foi observado usando pela primeira vez em julho de 2023 como parte de ataques cibernéticos visando setores do governo indiano.
Ativo desde pelo menos 2013, o adversário também é monitorado sob os nomes APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.
Seu arsenal de malware inclui ferramentas para comprometer dispositivos Windows, Android e Linux.
O aumento do ataque a máquinas Linux é motivado pelo uso, pelo governo indiano, de um fork do Ubuntu personalizado chamado Maya OS desde o ano passado.
As cadeias de infecção são iniciadas por arquivos do Painel de Controle (CPL) provavelmente distribuídos via técnicas de spear-phishing.
Foram observadas até três campanhas distintas empregando o RAT entre dezembro de 2023 e agosto de 2024, cada uma usando Slack, Google Drive e um servidor virtual privado (VPS) para comando e controle (C2).
Enquanto o ElizaRAT permite que os atacantes exerçam controle completo sobre o endpoint alvo, o ApoloStealer é projetado para coletar arquivos que correspondam a várias extensões (por exemplo, DOC, XLS, PPT, TXT, RTF, ZIP, RAR, JPG e PNG) do host comprometido e exfiltrá-los para um servidor remoto.
Em janeiro de 2024, diz-se que o ator de ameaças modificou o modus operandi para incluir um componente dropper que garante o funcionamento suave do ElizaRAT.
Também observado em ataques recentes é um módulo stealer adicional codinomeado ConnectX, projetado para buscar arquivos de drives externos, como USBs.
O abuso de serviços legítimos amplamente usados em ambientes empresariais aumenta a ameaça, pois complica os esforços de detecção e permite que os atores de ameaças se misturem às atividades legítimas no sistema.
"A progressão do ElizaRAT reflete os esforços deliberados do APT36 para aprimorar seu malware para melhorar a evasão de detecção e visar efetivamente as entidades indianas", disse a Check Point.
Introduzir novos payloads como o ApoloStealer marca uma expansão significativa do arsenal de malware do APT36 e sugere que o grupo está adotando uma abordagem mais flexível e modular na distribuição de payloads. IcePeony Visa a Índia, Maurício e Vietnã A divulgação vem semanas após a equipe de pesquisa nao_sec revelar que um grupo de ameaça persistente avançado (APT) que chama de IcePeony tem como alvo agências governamentais, instituições acadêmicas e organizações políticas em países como Índia, Maurício e Vietnã desde pelo menos 2023.
"Seus ataques geralmente começam com injeção SQL, seguida de comprometimento via web shells e backdoors", disseram os pesquisadores de segurança Rintaro Koike e Shota Nakajima.
No final, eles visam roubar credenciais.
Uma das ferramentas mais notáveis em seu portfólio de malware é o IceCache, que é projetado para alvo de instâncias do Microsoft Internet Information Services (IIS).
Um binário ELF escrito na linguagem de programação Go, é uma versão personalizada da web shell reGeorg com recursos adicionados de transmissão de arquivos e execução de comandos.
Os ataques também são caracterizados pelo uso de um backdoor em modo passivo único referido como IceEvent, que vem com capacidades para fazer upload/download de arquivos e executar comandos.
"Parece que os atacantes trabalham seis dias por semana", observaram os pesquisadores.
Embora sejam menos ativos às sextas-feiras e sábados, seu único dia de folga completo parece ser domingo.
Esta investigação sugere que os atacantes não estão conduzindo esses ataques como atividades pessoais, mas estão envolvidos neles como parte de operações organizadas e profissionais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...