Atuantes com vínculos ao Paquistão estão associados a uma extensa campanha de malware denominada Operação Celestial Force desde pelo menos 2018.
Essa atividade, que ainda está em curso, envolve o uso de um malware para Android chamado GravityRAT e um loader de malware para Windows conhecido como HeavyLift, segundo a Cisco Talos, que são administrados por outra ferramenta autônoma denominada GravityAdmin.
A equipe de cibersegurança atribuiu a invasão a um adversário rastreado sob o codinome Cosmic Leopard (também conhecido como SpaceCobra), que, segundo eles, apresenta algum grau de sobreposição tática com Transparent Tribe.
"A Operação Celestial Force está ativa desde pelo menos 2018 e continua atuando hoje — utilizando cada vez mais um conjunto de malwares em expansão e evolução — indicando que a operação provavelmente obteve um alto grau de sucesso mirando usuários no subcontinente indiano", disseram os pesquisadores de segurança Asheer Malhotra e Vitor Ventura em um relatório técnico compartilhado com The Hacker News.
GravityRAT veio à luz pela primeira vez em 2018 como um malware para Windows mirando entidades indianas por meio de e-mails de spear-phishing, ostentando um conjunto sempre em evolução de recursos para colher informações sensíveis de hosts comprometidos.
Desde então, o malware foi adaptado para funcionar em sistemas operacionais Android e macOS, transformando-o em uma ferramenta multiplataforma.
Descobertas subsequentes da Meta e da ESET no último ano revelaram o uso contínuo da versão Android do GravityRAT para mirar pessoal militar na Índia e entre a Força Aérea do Paquistão, mascarando-o como apps de armazenamento em nuvem, entretenimento e chat.
As descobertas da Cisco Talos unem todas essas atividades dispersas, mas relacionadas, sob um mesmo guarda-chuva, impulsionadas por evidências que apontam para o uso do GravityAdmin pelo ator de ameaça para orquestrar esses ataques.
Cosmic Leopard tem sido predominantemente observado empregando spear-phishing e engenharia social para estabelecer confiança com alvos em potencial, antes de enviar a eles um link para um site malicioso que instrui o download de um programa aparentemente inofensivo que instala o GravityRAT ou HeavyLift, dependendo do sistema operacional utilizado.
Diz-se que o GravityRAT foi usado pela primeira vez já em 2016.
GravityAdmin, por outro lado, é um binário usado para comandar sistemas infectados desde pelo menos agosto de 2021, estabelecendo conexões com os servidores de comando e controle (C2) de GravityRAT e HeavyLift.
"GravityAdmin consiste em múltiplas Interfaces de Usuário (UIs) embutidas que correspondem a campanhas específicas e codinomeadas operadas por operadores maliciosos," observaram os pesquisadores.
Por exemplo, 'FOXTROT', 'CLOUDINFINITY' e 'CHATICO' são nomes dados a todas as infecções baseadas em Android do GravityRAT, enquanto 'CRAFTWITHME', 'SEXYBER' e 'CVSCOUT' são nomes para ataques que implementam o HeavyLift.
O componente recém-descoberto no arsenal do ator de ameaça é o HeavyLift, uma família de loaders de malware baseada em Electron distribuída via instaladores maliciosos mirando o sistema operacional Windows.
Ele também tem semelhanças com as versões Electron do GravityRAT documentadas anteriormente pela Kaspersky em 2020.
O malware, uma vez lançado, é capaz de coletar e exportar metadados do sistema para um servidor C2 codificado, seguindo isso, periodicamente sondando o servidor por quaisquer novos payloads a serem executadas no sistema.
Além disso, foi projetado para realizar funções semelhantes no macOS também.
"Esta operação de múltiplos anos continuamente mirou em entidades e indivíduos indianos provavelmente pertencentes às áreas de defesa, governo e espaços relacionados à tecnologia," disseram os pesquisadores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...