Um grupo de ameaças persistentes avançadas (APT) que tem um histórico de atacar a Índia e o Afeganistão foi ligado a uma nova campanha de phishing que entrega o Action RAT.
De acordo com a Cyble, que atribuiu a operação ao SideCopy, o cluster de atividades é projetado para atacar a Organização de Pesquisa e Desenvolvimento de Defesa (DRDO), a ala de pesquisa e desenvolvimento do Ministério da Defesa da Índia.
Conhecido por emular as cadeias de infecção associadas ao SideWinder para fornecer seu próprio malware, o SideCopy é um grupo de ameaças de origem paquistanesa que compartilha sobreposições com a Tribo Transparente.
Tem estado ativo desde pelo menos 2019.
As sequências de ataque montadas pelo grupo envolvem o uso de e-mails de spear-phishing para obter acesso inicial.
Essas mensagens vêm com um arquivo ZIP que contém um arquivo de atalho do Windows (.LNK) disfarçado como informações sobre o míssil balístico K-4 desenvolvido pela DRDO.
Executar o arquivo .LNK leva à recuperação de um aplicativo HTML de um servidor remoto, que, por sua vez, exibe uma apresentação falsa, ao mesmo tempo em que implanta silenciosamente o backdoor Action RAT.
O malware, além de coletar informações sobre a máquina da vítima, é capaz de executar comandos enviados de um servidor de comando e controle (C2), incluindo a coleta de arquivos e a instalação de malwares adicionais.
Também foi implantado um novo malware de roubo de informações referido como AuTo Stealer, que está equipado para coletar e exfiltrar arquivos do Microsoft Office, documentos PDF, bancos de dados e arquivos de texto e imagens por meio de HTTP ou TCP.
"O grupo APT continua a evoluir suas técnicas enquanto incorpora novas ferramentas em seu arsenal", observou a Cyble.
Esta não é a primeira vez que o SideCopy emprega o Action RAT em seus ataques dirigidos à Índia.
Em dezembro de 2021, a Malwarebytes divulgou um conjunto de intrusões que violaram vários ministérios no Afeganistão e um computador governamental compartilhado na Índia para roubar credenciais sensíveis.
As últimas descobertas chegam um mês depois que a equipe adversária foi vista visando agências governamentais indianas com um trojan de acesso remoto chamado ReverseRAT.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...