Um grupo de ameaças persistentes avançadas (APT) que tem um histórico de atacar a Índia e o Afeganistão foi ligado a uma nova campanha de phishing que entrega o Action RAT.
De acordo com a Cyble, que atribuiu a operação ao SideCopy, o cluster de atividades é projetado para atacar a Organização de Pesquisa e Desenvolvimento de Defesa (DRDO), a ala de pesquisa e desenvolvimento do Ministério da Defesa da Índia.
Conhecido por emular as cadeias de infecção associadas ao SideWinder para fornecer seu próprio malware, o SideCopy é um grupo de ameaças de origem paquistanesa que compartilha sobreposições com a Tribo Transparente.
Tem estado ativo desde pelo menos 2019.
As sequências de ataque montadas pelo grupo envolvem o uso de e-mails de spear-phishing para obter acesso inicial.
Essas mensagens vêm com um arquivo ZIP que contém um arquivo de atalho do Windows (.LNK) disfarçado como informações sobre o míssil balístico K-4 desenvolvido pela DRDO.
Executar o arquivo .LNK leva à recuperação de um aplicativo HTML de um servidor remoto, que, por sua vez, exibe uma apresentação falsa, ao mesmo tempo em que implanta silenciosamente o backdoor Action RAT.
O malware, além de coletar informações sobre a máquina da vítima, é capaz de executar comandos enviados de um servidor de comando e controle (C2), incluindo a coleta de arquivos e a instalação de malwares adicionais.
Também foi implantado um novo malware de roubo de informações referido como AuTo Stealer, que está equipado para coletar e exfiltrar arquivos do Microsoft Office, documentos PDF, bancos de dados e arquivos de texto e imagens por meio de HTTP ou TCP.
"O grupo APT continua a evoluir suas técnicas enquanto incorpora novas ferramentas em seu arsenal", observou a Cyble.
Esta não é a primeira vez que o SideCopy emprega o Action RAT em seus ataques dirigidos à Índia.
Em dezembro de 2021, a Malwarebytes divulgou um conjunto de intrusões que violaram vários ministérios no Afeganistão e um computador governamental compartilhado na Índia para roubar credenciais sensíveis.
As últimas descobertas chegam um mês depois que a equipe adversária foi vista visando agências governamentais indianas com um trojan de acesso remoto chamado ReverseRAT.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...