گسترش فعالیت‌های هکرهای پاکستانی در هند با تروجان‌های دسترسی از راه دور

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان اعلام کردند که یک عامل تهدید مرتبط با پاکستان بخش‌های مختلف را در هند با تروجان‌های مختلف دسترسی از راه دور مانند «Xeno RAT»، «Spark RAT» و یک خانواده بدافزار غیرمستند قبلی به نام «CurlBack RAT» هدف قرار می‌دهد.

این فعالیت که توسط «SEQRITE» در دسامبر سال گذشته شناسایی شد، نهادهای هندی زیر نظر وزارتخانه‌های راه‌آهن، نفت و گاز و امور خارجی را هدف قرار داد که نشان‌دهنده گسترش ردپای هکرها فراتر از بخش‌های دولتی، دفاعی، دریایی و دانشگاه‌ها بود.

یک محقق امنیتی به نام ساتویک رام پراکی (Sathwik Ram Prakki) گفت:

«یک تغییر قابل توجه در کمپین‌های اخیر، انتقال از استفاده از فایل‌های برنامهHTML  (HTA) به استفاده از بسته‌های نصب کننده مایکروسافت (MSI) به عنوان مکانیسم مرحله‌بندی اولیه است.»

گمان می‌رود «SideCopy» یک گروه فرعی در «Transparent Tribe» (معروف به APT36) باشد که حداقل از سال 2019 فعال است. این نام به دلیل تقلید از زنجیره‌های حمله مرتبط با یک عامل تهدید دیگر به نام «SideWinder» برای ارائه بارهای خود است.

در ژوئن سال قبل، SEQRITE استفاده SideCopy از فایل‌های HTA مبهم را برجسته و از تکنیک‌هایی استفاده کرد که قبلاً در حملات SideWinder مشاهده شده بود. همچنین مشخص شد که فایل‌ها حاوی ارجاعاتی به URLهایی هستند که فایل‌های «RTF» مورد استفاده SideWinder را میزبانی می‌کنند.

این حملات با استقرار «Action RAT» و «ReverseRAT»، دو خانواده بدافزار شناخته شده منتسب به SideCopy و چندین محموله دیگر از جمله «Cheex» برای سرقت اسناد و تصاویر، یک دستگاه کپی یواس‌بی برای انتقال اطلاعات از درایوهای متصل و یک «Geta RAT» مبتنی بر دات‌نت، با توانایی اجرای دستورات مجدد از a30، به اوج خود رسید.

RAT مجهز به سرقت داده‌های مرورگر فایرفاکس و کرومیوم از تمام حساب‌ها، نمایه‌ها و کوکی‌ها است، این ویژگی از «AsyncRAT» قرض گرفته شده است.

SEQRITE در آن زمان خاطرنشان کرد: «تمرکز APT36 عمدتاً روی سیستم‌های لینوکس است، درحالی‌که SideCopy سیستم‌های ویندوز را هدف قرار می‌دهد و بارهای جدیدی را به زرادخانه خود اضافه می‌کند.»

جدیدترین یافته‌ها نشان می‌دهد که گروه هکری به فعالیت خود ادامه می‌دهد، درحالی‌که از فیشینگ مبتنی بر ایمیل به عنوان یک عامل توزیع بدافزار استفاده می‌کند. این پیام‌های ایمیل حاوی انواع مختلفی از اسناد وسوسه‌انگیز هستند، از فهرست تعطیلات کارکنان راه‌آهن تا دستورالعمل‌های امنیت سایبری صادر شده توسط یک شرکت دولتی به نام شرکت هندوستان پترولیوم (HPCL).

یک دسته از فعالیت‌ها به ویژه با توجه به توانایی آن برای هدف قرار دادن هر 2 سیستم ویندوز و لینوکس قابل توجه است، که در نهایت منجر به استقرار یک تروجان دسترسی از راه دور بین پلتفرمی به نام Spark RAT و یک بدافزار جدید مبتنی بر ویندوز با نام رمز CurlBack RAT می‌شود که می‌تواند اطلاعات سیستم را جمع‌آوری، فایل‌ها را از هاست دانلود و دستورهای شخصی را به صورت دلخواه اجرا کند و لیستی از حساب‌های کاربری دلخواه را انجام دهد.

دسته دوم با استفاده از فایل‌های فریب به عنوان راهی برای شروع یک فرآیند آلودگی چند مرحله‌ای مشاهده شده که یک نسخه سفارشی از Xeno RAT را حذف می‌کند که شامل روش‌های دستکاری رشته‌های اساسی است.

به گفته کارشناسان، این گروه از استفاده از فایل‌های HTA به بسته‌های MSI به‌عنوان مکانیسم مرحله‌بندی اولیه تغییر مکان داده و به استفاده از تکنیک‌های پیشرفته مانند بارگذاری جانبی DLL، بارگذاری بازتابی و رمزگشایی AES از طریق پاورشِل ادامه می‌دهد؛ علاوه بر این، آنها از ابزارهای منبع باز سفارشی مانند Xeno RAT و Spark RAT، همراه با استقرار CurlBack RAT تازه شناسایی شده استفاده می‌کنند. دامنه‌های در معرض خطر و سایت‌های جعلی برای فیشینگ اعتبار و میزبانی بار استفاده می‌شوند که تلاش‌های مداوم گروه برای جلوگیری از شناسایی را برجسته می‌کند.