- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Происхождение хакерской группы и ее принадлежность в настоящее время неизвестны, но есть намеки на то, что киберпреступники могут иметь связи с Индией. Такой вывод сделан, исходя из ссылок на «SAPTARISHI-ATHARVAN-101» (Saptarishi - провидец из индуистской литературы, Atharvan - священник, соавтор части религиозных писаний индусов) в бэкдоре и использование пароля «iloveindea1998^_^» для вредоносного ZIP-архива.
Также неясны точные средства начального доступа, хотя есть подозрения, что хакеры проводят брутфорс-атаки на серверы, подключенные к Интернету. Некоторые из ключевых признаков вторжений включают очистку системного монитора и журналов событий, а также развертывание нескольких бэкдоров, таких как Atharvan и модифицированная версия Lilith RAT с открытым исходным кодом, для кражи конфиденциальной информации.«Хотя эти детали могут свидетельствовать о том, что группа базируется в Индии, также вполне вероятно, что информация была подброшена как ложный флаг, а пароль, в частности, кажется слишком очевидной подсказкой», — говорится в отчете Symantec.
Кроме того, Atharvan может связываться с жестко запрограммированным адресом сервера управления и контроля (C2, C&C) для извлечения и запуска произвольных исполняемых файлов на зараженном хосте. Адреса C&C-серверов относятся к Amazon AWS в Южной Корее, который не является обычным местом для С2-инфраструктуры.
Судя по используемым инструментам и тактике, основной мотив группы заключается в получении постоянного доступа к устройствам без обнаружения, а также в краже информации.