|
Как Пакистан использует исследования министерства обороны Индии, экспертам ещё предстоит узнать. APT-группа SideCopy проводит новую фишинговую кампанию, в ходе которой распространяет бэкдор Action RAT. Об этом сообщили специалисты компании Cyble в своём отчёте. Кампания нацелена на организации оборонных исследований и разработок (DRDO), научно-исследовательского подразделения Министерства обороны Индии. Цепочка атак начинается с целевых фишинговых писем с вложением в виде ZIP-архива, который содержит LNK-файл, выдающий себя за презентацию о баллистической ракете К-4, разработанной DRDO. https://www.securitylab.ru/upload/me...l9pp2326ui.png Поддельная презентация Выполнение LNK-файла приводит к извлечению HTML-приложения с удаленного сервера, который, в свою очередь, отображает поддельную презентацию, а также скрытно развертывает бэкдор Action RAT. https://www.securitylab.ru/upload/me...3vg1olt2r8.png Цепочка атак SideCopy Вредоносное ПО способно выполнять команды, отправленные с сервера управления и контроля (C2, C&C), которые включают:<ul><li>сбор информации о машине-жертве;</li> </ul><ul><li>сбор файлов с устройства;</li> </ul><ul><li>доставку других вредоносных программ.</li> </ul>В ходе кампаний также был развернут новый инфостилер под названием Auto Stealer, который через HTTP или TCP собирает и извлекает файлы Microsoft Office, PDF-документов, баз данных, текстовых файлов и изображений. SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe . Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане. |
| All times are GMT. The time now is 03:37 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.