Peretas yang Terkait dengan Pakistan Menambahkan Malware Windows Baru ke Arsenalnya

  • Whatsapp
Peretas yang Terkait dengan Pakistan Menambahkan Malware Windows Baru ke Arsenalnya

Penjahat dunia maya yang diduga memiliki hubungan dengan Pakistan terus mengandalkan rekayasa sosial sebagai komponen penting dari operasinya sebagai bagian dari kampanye spionase yang berkembang terhadap target India, menurut penelitian baru.

Serangan telah dikaitkan dengan kelompok yang disebut Suku Transparan, juga dikenal sebagai Operasi C-Major, APT36, dan Mythic Leopard, yang telah menciptakan domain palsu yang meniru organisasi militer dan pertahanan India yang sah, dan domain palsu lainnya yang menyamar sebagai situs berbagi file untuk menampung artefak berbahaya.

Bacaan Lainnya

“Sementara personel militer dan pertahanan terus menjadi target utama kelompok tersebut, Transparent Tribe semakin menargetkan entitas diplomatik, kontraktor pertahanan, organisasi penelitian, dan peserta konferensi, yang menunjukkan bahwa kelompok tersebut memperluas penargetannya,” peneliti dari Cisco Talos berkata pada hari Kamis.

auditor kata sandi

Domain ini digunakan untuk mengirimkan maldocs yang mendistribusikan CrimsonRAT, dan ObliqueRAT, dengan grup yang menggabungkan phishing baru, umpan seperti dokumen resume, agenda konferensi, dan tema pertahanan dan diplomatik ke dalam perangkat operasionalnya. Perlu dicatat bahwa APT36 sebelumnya dikaitkan dengan kampanye malware yang menargetkan organisasi di Asia Selatan untuk menyebarkan ObliqueRAT pada sistem Windows dengan kedok gambar yang tampaknya tidak berbahaya yang dihosting di situs web yang terinfeksi.

Infeksi ObliqueRAT juga cenderung menyimpang dari yang melibatkan CrimsonRAT karena muatan berbahaya disuntikkan ke situs web yang disusupi alih-alih menyematkan malware ke dalam dokumen itu sendiri. Dalam satu contoh yang diidentifikasi oleh peneliti Talos, musuh ditemukan menggunakan situs web Asosiasi Industri India yang sah untuk meng-host malware ObliqueRAT, sebelum membuat situs web palsu yang menyerupai entitas sah di anak benua India dengan memanfaatkan utilitas penyalin situs web sumber terbuka. disebut HTTrack.

Domain palsu lain yang dibuat oleh aktor ancaman menyamar sebagai portal informasi untuk Komisi Pembayaran Pusat ke-7 (7CPC) India, mendesak para korban untuk mengisi formulir dan mengunduh panduan pribadi yang, ketika dibuka, menjalankan CrimsonRAT setelah mengaktifkan makro di spreadsheet yang diunduh. Dalam nada yang sama, domain jahat ketiga yang didaftarkan oleh para penyerang meniru sebuah think tank India yang disebut Center For Land Warfare Studies (CLAWS).

“Transparent Tribe sangat bergantung pada penggunaan maldocs untuk menyebarkan implan Windows mereka,” kata para peneliti. “Sementara CrimsonRAT tetap menjadi implan Windows pokok grup, pengembangan dan distribusi ObliqueRAT mereka pada awal 2020 menunjukkan bahwa mereka dengan cepat memperluas gudang malware Windows mereka.”

Dalam memperluas viktimologinya, mengganti arsenal malware-nya, dan merancang umpan yang meyakinkan, pelaku ancaman telah menunjukkan kesediaan yang jelas untuk memberikan operasinya lapisan legitimasi dengan harapan bahwa hal itu akan meningkatkan kemungkinan keberhasilan.

“Taktik, teknik, dan prosedur (TTP) Suku Transparan sebagian besar tetap tidak berubah sejak 2020, tetapi kelompok itu terus menerapkan umpan baru ke dalam perangkat operasionalnya,” kata para peneliti. “Berbagai umpan maldoc yang digunakan Transparent Tribe menunjukkan bahwa kelompok tersebut masih mengandalkan rekayasa sosial sebagai komponen inti dari operasinya.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *