Các cơ quan chính phủ Ấn Độ và lĩnh vực quốc phòng đã bị nhắm mục tiêu bởi một chiến dịch lừa đảo được thiết kế để thả phần mềm độc hại dựa trên Rust để thu thập thông tin tình báo.
Hoạt động này, được phát hiện lần đầu tiên vào tháng 10/2023, có tên mã là Chiến dịch RusticWeb bởi công ty bảo mật doanh nghiệp SEQRITE.
"Các payload dựa trên Rust mới và các lệnh PowerShell được mã hóa đã được sử dụng để trích xuất các tài liệu bí mật vào một công cụ dịch vụ dựa trên web, thay vì một máy chủ chỉ huy và kiểm soát (C2) chuyên dụng", nhà nghiên cứu bảo mật Sathwik Ram Prakki cho biết.
Sự chồng chéo chiến thuật đã được phát hiện giữa cụm và những người được theo dõi rộng rãi dưới biệt danh Transparent Tribe và SideCopy, cả hai đều được đánh giá là có liên quan đến Pakistan.
SideCopy cũng là một yếu tố cấp dưới bị nghi ngờ trong Bộ lạc Minh bạch. Tháng trước, SEQRITE đã trình bày chi tiết nhiều chiến dịch được thực hiện bởi tác nhân đe dọa nhắm vào các cơ quan chính phủ Ấn Độ để cung cấp nhiều trojan như AllaKore RAT, Ares RAT và DRat.
Các chuỗi tấn công gần đây khác được ThreatMon ghi lại đã sử dụng các tệp Microsoft PowerPoint mồi nhử cũng như các kho lưu trữ RAR được chế tạo đặc biệt dễ bị CVE-2023-38831 để phân phối phần mềm độc hại, cho phép truy cập và điều khiển từ xa không kiểm soát.
"Chuỗi lây nhiễm của SideCopy APT Group bao gồm nhiều bước, mỗi bước được sắp xếp cẩn thận để đảm bảo thỏa hiệp thành công", ThreatMon lưu ý vào đầu năm nay.
Loạt tấn công mới nhất bắt đầu với một email lừa đảo, tận dụng các kỹ thuật kỹ thuật xã hội để lừa nạn nhân tương tác với các tệp PDF độc hại làm giảm tải trọng dựa trên Rust để liệt kê hệ thống tệp trong nền trong khi hiển thị tệp mồi nhử cho nạn nhân.
Bên cạnh việc tích lũy các tệp quan tâm, phần mềm độc hại được trang bị để thu thập thông tin hệ thống và truyền chúng đến máy chủ C2 nhưng thiếu các tính năng của phần mềm độc hại đánh cắp tiên tiến khác có sẵn trong tội phạm mạng ngầm.
Một chuỗi lây nhiễm thứ hai được xác định bởi SEQRITE vào tháng Mười Hai sử dụng một quy trình nhiều giai đoạn tương tự nhưng thay thế phần mềm độc hại Rust bằng một tập lệnh PowerShell chăm sóc các bước liệt kê và exfiltration.
Nhưng trong một bước ngoặt thú vị, tải trọng giai đoạn cuối được khởi chạy thông qua tệp thực thi Rust có tên là "Cisco AnyConnect Web Helper". Thông tin thu thập được cuối cùng được tải lên oshi[.] tại tên miền, một công cụ chia sẻ tệp công khai ẩn danh có tên OshiUpload.
"Chiến dịch RusticWeb có thể liên quan đến một mối đe dọa APT vì nó có những điểm tương đồng với các nhóm liên kết với Pakistan khác nhau", Ram Prakki nói.
Tiết lộ được đưa ra gần hai tháng sau khi Cyble phát hiện ra một ứng dụng Android độc hại được sử dụng bởi Nhóm DoNot nhắm vào các cá nhân ở khu vực Kashmir của Ấn Độ.
Tác nhân quốc gia, còn được biết đến với cái tên APT-C-35, Origami Elephant và SECTOR02, được cho là có nguồn gốc Ấn Độ và có lịch sử sử dụng phần mềm độc hại Android để xâm nhập vào các thiết bị thuộc về người dân ở Kashmir và Pakistan.
Biến thể được Cyble kiểm tra là phiên bản trojan của dự án GitHub mã nguồn mở có tên "QuranApp: Read and Explore" được trang bị một loạt các tính năng phần mềm gián điệp để ghi lại các cuộc gọi âm thanh và VoIP, chụp ảnh màn hình, thu thập dữ liệu từ các ứng dụng khác nhau, tải xuống các tệp APK bổ sung và theo dõi vị trí của nạn nhân.
"Những nỗ lực không ngừng của nhóm DoNot để tinh chỉnh các công cụ và kỹ thuật của họ nhấn mạnh mối đe dọa đang diễn ra mà họ đặt ra, đặc biệt là trong việc nhắm mục tiêu vào các cá nhân ở khu vực Kashmir nhạy cảm của Ấn Độ", Cyble nói.