Peretas SideCopy Menargetkan Pejabat Pemerintah India Dengan Malware Baru

  • Whatsapp
Peretas SideCopy

Sebuah kelompok spionase dunia maya telah diamati semakin menargetkan personel pemerintah India sebagai bagian dari kampanye luas untuk menginfeksi korban dengan sebanyak empat trojan akses jarak jauh kustom baru (RAT), menandakan “peningkatan dalam operasi pengembangan mereka.”

Dikaitkan dengan grup yang dilacak sebagai SideCopy, intrusi memuncak dalam penyebaran berbagai plugin modular, mulai dari enumerator file hingga pencuri kredensial browser dan keyloggers (Xeytan dan Lavao), Cisco Talos mengatakan dalam sebuah laporan yang diterbitkan Rabu.

Bacaan Lainnya

“Taktik dan tema penargetan yang diamati dalam kampanye SideCopy menunjukkan tingkat kesamaan yang tinggi dengan APT Suku Transparan (alias APT36) yang juga menargetkan India,” peneliti Asheer Malhotra dan Justin Thattil berkata. “Ini termasuk menggunakan umpan yang menyamar sebagai dokumen operasional milik militer dan think tank dan infeksi berbasis honeytrap.”

Tim Stack Overflow

Pertama kali didokumentasikan pada September 2020 oleh perusahaan keamanan siber India Quick Heal, SideCopy memiliki sejarah meniru rantai infeksi yang diterapkan oleh Sidewinder APT untuk mengirimkan rangkaian malwarenya sendiri — dalam upaya untuk menyesatkan atribusi dan menghindari deteksi — sambil terus-menerus memperlengkapi kembali muatan yang menyertakan tambahan mengeksploitasi persenjataannya setelah pengintaian data dan lingkungan korban.

Musuh tersebut juga diyakini berasal dari Pakistan, dengan dugaan terkait dengan kelompok Transparent Tribe (alias Mythic Leopard), yang telah dikaitkan dengan beberapa serangan yang menargetkan entitas militer dan pemerintah India. Kampanye sebelumnya yang dilakukan oleh aktor ancaman melibatkan penggunaan umpan pemerintah dan militer untuk memilih unit pertahanan dan personel angkatan bersenjata India dan mengirimkan malware yang mampu mengakses file, data clipboard, menghentikan proses, dan bahkan menjalankan perintah sewenang-wenang.

Gelombang serangan terbaru memanfaatkan banyak TTP, termasuk file LNK berbahaya dan dokumen umpan, untuk memberikan kombinasi RAT komoditas yang dipesan lebih dahulu dan tersedia secara komersial seperti CetaRAT, DetaRAT, ReverseRAT, MargulasRAT, njRAT, Allakore, ActionRAT, Lillith, dan Epicenter TIKUS. Terlepas dari tema militer, SideCopy juga ditemukan menggunakan panggilan untuk proposal dan lowongan pekerjaan yang terkait dengan think tank di India untuk menargetkan calon korban.

“Pengembangan malware RAT baru merupakan indikasi bahwa kelompok penyerang ini dengan cepat mengembangkan gudang malware dan alat pasca-infeksi sejak 2019,” kata Malhotra dan Thattil. Perbaikan menunjukkan upaya untuk memodulasi rantai serangan, sementara juga menunjukkan peningkatan kecanggihan taktik kelompok, kata para peneliti.

Selain menyebarkan backdoors penuh, SideCopy juga telah diamati menggunakan plugin untuk melakukan tugas berbahaya tertentu pada titik akhir yang terinfeksi, di antaranya adalah modul berbasis Golang yang disebut “Nodachi” yang dirancang untuk melakukan pengintaian dan mencuri file yang menargetkan pemerintah- solusi otentikasi dua faktor yang diamanatkan disebut Kavach, yang diperlukan untuk mengakses layanan email.

Manajemen Kata Sandi Perusahaan

Tujuannya, tampaknya, adalah untuk mencuri kredensial akses dari pegawai pemerintah India dengan fokus pada spionase, kata para peneliti, menambahkan aktor ancaman mengembangkan dropper untuk MargulasRAT yang menyamar sebagai penginstal untuk Kavach di Windows.

Peneliti perangkat lunak jahat @0xrb, yang juga melacak kampanye secara independen, menghubungi The Hacker News dengan dua IP lagi yang digunakan oleh penyerang SideCopy untuk terhubung ke server perintah-dan-kontrol — 103[.]255.7.33 dan 115[.]186.190.155 — keduanya terletak di kota Islamabad, memberikan kepercayaan kepada aktor ancaman asal Pakistan.

“Apa yang dimulai sebagai vektor infeksi sederhana oleh SideCopy untuk mengirimkan RAT khusus (CetaRAT), telah berkembang menjadi beberapa varian rantai infeksi yang mengirimkan beberapa RAT,” para peneliti menyimpulkan. “Penggunaan banyak teknik infeksi ini – mulai dari file LNK hingga RAR EXE yang mengekstrak sendiri dan penginstal berbasis MSI – merupakan indikasi bahwa aktor tersebut bekerja secara agresif untuk menginfeksi korbannya.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *