• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy.

SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe. Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.

Обнаруженная кампания SideCopy использует программу для двухфакторной аутентификации Kavach, которое используется индийскими госслужащими. Цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов («Cyber Advisory 2023.docm»).

Файл имитирует рекомендацию Министерства связи Индии об угрозах на устройства Android и реагирование на них («Android Threats and Prevention»). Кроме того, большая часть контента была скопирована из реального предупреждения Министерства.

После открытия файла и включения макросов выполняется вредоносный код, который приводит к развертыванию ReverseRAT в скомпрометированной системе. Как только ReverseRAT получает постоянство, он перечисляет устройства жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на сервер управления и контроля (C2, C&C). Бэкдор ожидает выполнения команд на целевой машине, и некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также эксфильтрацию файлов на сервер C2.

Бэкдор ReverseRAT впервые был обнаружен в 2021 году компанией Black Lotus Labs. Тогда эксперты пояснили, что операторы трояна нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии.

С 2020 года SideWinder, с которой связана группа SideCopy, совершила серию из 1000 атак, применяя все более изощренные методы кибератак. В 2022 году «Лаборатория Касперского» рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Считается, что группировка связана с правительством Индии, но ЛК утверждает, что группировка не относится к какой-либо стране.
 
Сверху