Um ator de ameaças com vínculos com o Paquistão foi observado mirando vários setores na Índia com vários trojans de acesso remoto como Xeno RAT, Spark RAT e uma família de malware anteriormente não documentada chamada CurlBack RAT.
A atividade, detectada pela SEQRITE em dezembro de 2024, visou entidades indianas sob os ministérios de ferrovias, petróleo e gás e assuntos externos, marcando uma expansão da pegada de alvos da equipe de hackers além do governo, defesa, setores marítimos e universidades.
"Uma mudança notável em campanhas recentes é a transição do uso de arquivos de Aplicativo HTML (HTA) para a adoção de pacotes do Microsoft Installer (MSI) como mecanismo de instalação primário", disse o pesquisador de segurança Sathwik Ram Prakki.
O SideCopy é suspeito de ser um subgrupo dentro do Transparent Tribe (também conhecido como APT36) que está ativo desde pelo menos 2019.
Ele é assim denominado por imitar as cadeias de ataque associadas a outro ator de ameaça chamado SideWinder para entregar seus próprios payloads.
Em junho de 2024, a SEQRITE destacou o uso pelo SideCopy de arquivos HTA ofuscados, aproveitando técnicas previamente observadas em ataques do SideWinder.
Os arquivos também foram encontrados contendo referências a URLs que hospedavam arquivos RTF identificados como usados pelo SideWinder.
Os ataques culminaram na implantação de Action RAT e ReverseRAT, duas famílias de malware conhecidas atribuídas ao SideCopy, e vários outros payloads, incluindo Cheex para roubar documentos e imagens, um copiador USB para sifonar dados de unidades conectadas, e um Geta RAT baseado em .NET capaz de executar 30 comandos enviados de um servidor remoto.
O RAT está equipado para roubar dados de todos os perfis de contas e cookies de navegadores baseados em Firefox e Chromium, uma característica emprestada do AsyncRAT.
"O foco do APT36 é principalmente sistemas Linux, enquanto o SideCopy mira sistemas Windows adicionando novos payloads ao seu arsenal," observou a SEQRITE na época.
As últimas descobertas demonstram uma continuação na maturação do grupo de hacking, ganhando força própria, enquanto aproveita o phishing baseado em e-mail como um vetor de distribuição para malware.
Essas mensagens de e-mail contêm vários tipos de documentos isca, variando de listas de férias para funcionários ferroviários a diretrizes de cibersegurança emitidas por uma empresa de setor público chamada Hindustan Petroleum Corporation Limited (HPCL).
Um cluster de atividade é particularmente notável dada sua capacidade de mirar tanto sistemas Windows quanto Linux, levando em última análise à implantação de um trojan de acesso remoto multiplataforma conhecido como Spark RAT e um novo malware baseado em Windows codinomeado CurlBack RAT que pode coletar informações do sistema, baixar arquivos do host, executar comandos arbitrários, elevar privilégios e listar contas de usuários.
Um segundo cluster foi observado usando os arquivos de isca como forma de iniciar um processo de infecção em várias etapas que deixa cair uma versão personalizada do Xeno RAT, que incorpora métodos básicos de manipulação de strings.
"O grupo mudou do uso de arquivos HTA para pacotes MSI como mecanismo de instalação primário e continua a empregar técnicas avançadas como carregamento lateral de DLL, carregamento reflexivo e decifração AES via PowerShell", disse a empresa.
Além disso, eles estão aproveitando ferramentas de código aberto personalizadas como Xeno RAT e Spark RAT, juntamente com a implantação do recém-identificado CurlBack RAT.
Domínios comprometidos e sites falsos estão sendo utilizados para phishing de credenciais e hospedagem de payload, destacando os esforços contínuos do grupo para aumentar a persistência e evitar detecção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...