هاكرز يستهدفون مسؤولي الحكومة الهندية ببرامج ضارة جديدة

متابعات-ميكسي نيوز

هاكرز يستهدفون مسؤولي الحكومة الهندية…وقد لوحظت مجموعة من التجسس السيبراني بشكل متزايد تستهدف أفراد الحكومة الهندية كجزء من حملة واسعة لإصابة الضحايا الذين تصل إلى أربعة أحصنة أحصنة طروادة جديدة مخصصة للوصول عن بعد (الفئران) ، مما يشير إلى “دفعة في عمليات التطوير الخاصة بهم”.

وقال سيسكو تالوس في تقرير يوم الأربعاء إن النسب المنسوبة إلى مجموعة تم تتبعها كجهة جانبية ، وتتوجت عمليات التداخل في نشر مجموعة متنوعة من الإضافات المعيارية ، بدءًا من تعداد الملفات إلى سارقات اعتماد المتصفح والخواصة الرئيسية (Xeytan و Lavao).

“استهداف التكتيكات والموضوعات التي لوحظت في حملات الجوانب تشير إلى درجة عالية من التشابه مع القبيلة الشفافة APT (AKA APT36) التي تستهدف الهند أيضًا”. قال. “وتشمل هذه استخدام الأفخاشات التي تتظاهر كوثائق تشغيلية تنتمي إلى الخزانات العسكرية والتفكير والالتهابات القائمة على العسل.”

تم توثيقها لأول مرة في سبتمبر 2020 من قبل شركة الأمن السيبراني الهندي Quick Heal ، لدى Sidecopy تاريخ من محاكاة سلاسل العدوى التي تنفذها Sidewinder Apt لتقديم مجموعة من البرامج الضارة الخاصة بها – في محاولة لتضليل الإسناد وتكتشفها – مع إعادة تجهيز الحمولات المستمرة التي تشمل استغلالًا إضافيًا في سلاحها بعد تربية بيانات VICTIM والبيئة.

ويعتقد أيضًا أن الخصم من أصل باكستاني ، مع وجود علاقات مشتبه فيها بمجموعة القبيلة الشفافة (المعروفة باسم الفهد الأسطوري) ، والتي تم ربطها بالعديد من الهجمات التي تستهدف الكيانات العسكرية والحكومية الهندية. تنطوي الحملات السابقة التي قام بها ممثل التهديد على استخدام سحر الحكومة والعسكرية لفرد وحدات الدفاع الهندية وأفراد القوات المسلحة وتقديم البرامج الضارة القادرة على الوصول إلى الملفات وبيانات الحافظة وإنهاء العمليات وحتى تنفيذ الأوامر التعسفية.

تعمل أحدث موجة من الهجمات على الاستفادة من العديد من TTPs ، بما في ذلك ملفات LNK الضارة ووثائق الشرك ، لتقديم مجموعة من الفئران المفصلة والمتاحة تجاريًا مثل Cetarat و Detarat و Respererat و Margulasrat و NJrat و Allakore و Actionrat و Lillith و Epicenter. بصرف النظر عن المواضيع العسكرية ، تم العثور على Sidecopy أيضًا باستخدام دعوات لتقديم المقترحات وفتحات الوظائف المتعلقة بخزانات الفكر في الهند لاستهداف الضحايا المحتملين.

“إن تطوير البرامج الضارة الفئران الجديدة هو مؤشر على أن هذه المجموعة من المهاجمين تتطور بسرعة من أدوات ترسانة البرامج الضارة وما بعد العدوى منذ عام 2019” ، لاحظت Malhotra و Thattil. وقال الباحثون إن التحسينات توضح جهودًا لتعديل سلاسل الهجوم ، مع إظهار زيادة في تطور تكتيكات المجموعة.

إلى جانب نشر أجهزة خلفية كاملة الكاملة ، لوحظ أيضًا أن الجانبية قد لوحظت باستخدام المكونات الإضافية لتنفيذ مهام ضارة محددة على نقطة النهاية المصابة ، ومن بينها الوحدة النمطية المستندة إلى Golang تسمى “Nodachi” والتي تم تصميمها لإجراء الاستطلاع وسرقة ملفات الاستهداف بمحلول مصادقة على عاتسة الحكومة تسمى ” Kavach، وهو مطلوب للوصول إلى خدمات البريد الإلكتروني.

وقال الباحثون إن الهدف هو سرقة بيانات الاعتماد من موظفي الحكومة الهنود مع التركيز على التجسس ، مضيفًا أن ممثل التهديد قد طور قطرة لمارغولاسرات التي تنكر كمثبتات لـ Kavach على Windows.

باحث البرامج الضارة @0xrb، الذي يتتبع أيضًا الحملة بشكل مستقل ، وصل إلى أخبار المتسللين مع اثنين من IPS المستخدمان من قبل المهاجمين الجانبيين للاتصال بخادم القيادة والسيطرة-103 (.) 255.7.33 و 115 (.) 186.190.155-وكلاهما يقع في مدينة إسلاماباد ، وهو ما يقرض من Aper Actor.

وخلص الباحثون إلى أن “ما بدأ كمتجه بسيط للعدوى بواسطة Sidecopy لتقديم فأر مخصص (Cetarat) ، قد تطور إلى متغيرات متعددة من سلاسل العدوى التي تقدم العديد من الفئران”. “إن استخدام العديد من تقنيات العدوى-بدءًا من ملفات LNK إلى Exes RAR المستندة إلى ذاتيا والمثبتات المستندة إلى MSI-هو مؤشر على أن الممثل يعمل بقوة على إصابة ضحاياهم”.

تحديث: في تقرير مستقل مشترك مع Hacker News ، لاحظت شركة الأمن السيبراني Quick Heal أن الموجة الثانية من حملة المراقبة الرقمية التي أجراها الممثل الجانبي استهدفت تعهدات القطاع العام الحرجة (PSUs) من قطاعات الاتصالات والسلطة والمالية الموجودة في الهند.

“الأدلة (…) تشير إلى عملية منظمة للغاية مصممة للتهرب من معظم آليات الأمن” ، الباحثون قالإضافة الجهات الفاعلة الخبيثة “قاموا بالاستطلاع التفصيلي قبل إطلاق حملة الهجوم” و “عززت أدوات وأساليب الهجوم ، مقارنة بالعام الماضي ، لجعل الكشف صعبًا”.