Peretas yang terkait dengan Pakistan menargetkan perusahaan listrik India dengan ReverseRat

  • Whatsapp
Perusahaan Listrik India

Seorang aktor ancaman yang diduga terkait dengan Pakistan telah menyerang pemerintah dan organisasi energi di kawasan Asia Selatan dan Tengah untuk menyebarkan trojan akses jarak jauh pada sistem Windows yang disusupi, menurut penelitian baru.

“Sebagian besar organisasi yang menunjukkan tanda-tanda kompromi berada di India, dan sejumlah kecil berada di Afghanistan,” Lab Teratai Hitam Lumen berkata dalam analisis Selasa. “Korban yang berpotensi dikompromikan selaras dengan vertikal pemerintah dan utilitas listrik.”

Bacaan Lainnya

Beberapa korban termasuk organisasi pemerintah asing, organisasi transmisi listrik, dan organisasi pembangkit dan transmisi listrik. Operasi rahasia dikatakan telah dimulai setidaknya pada Januari 2021.

Tim Stack Overflow

Intrusi terkenal karena sejumlah alasan, paling tidak karena selain sifatnya yang sangat bertarget, taktik, teknik, dan prosedur (TTPs) yang diadopsi oleh musuh bergantung pada kode sumber terbuka yang digunakan kembali dan penggunaan domain yang dikompromikan dalam negara yang sama dengan entitas yang ditargetkan untuk meng-host file berbahaya mereka.

Pada saat yang sama, grup telah berhati-hati untuk menyembunyikan aktivitas mereka dengan memodifikasi kunci registri, memberi mereka kemampuan untuk mempertahankan kegigihan pada perangkat target tanpa menarik perhatian secara diam-diam.

Menjelaskan rantai infeksi multi-langkah, Lumen mencatat kampanye “mengakibatkan korban mengunduh dua agen; satu berada di memori, sementara yang kedua dimuat di samping, memberikan kegigihan aktor ancaman di workstation yang terinfeksi.”

Peretas Pakistan

Serangan dimulai dengan tautan berbahaya yang dikirim melalui email atau pesan phishing yang, ketika diklik, mengunduh file arsip ZIP yang berisi file pintasan Microsoft (.lnk) dan file PDF umpan dari domain yang disusupi.

File pintasan, selain menampilkan dokumen jinak kepada penerima yang tidak curiga, juga menangani pengambilan dan menjalankan file HTA (aplikasi HTML) secara diam-diam dari situs web yang sama yang disusupi.

Dokumen iming-iming sebagian besar menggambarkan acara katering ke India, menyamar sebagai panduan pengguna untuk mendaftar dan memesan janji untuk vaksin COVID-19 melalui CoWIN portal online, sementara beberapa lainnya menyamar sebagai Bombay Sappers, sebuah resimen Korps Insinyur Angkatan Darat India.

Manajemen Kata Sandi Perusahaan

Terlepas dari dokumen PDF yang ditampilkan kepada korban, file HTA — itu sendiri merupakan kode JavaScript berdasarkan proyek GitHub yang disebut KaktusObor — dimanfaatkan untuk menyuntikkan shellcode 32-bit ke dalam proses yang sedang berjalan untuk akhirnya menginstal .NET backdoor yang disebut ReverseRat yang menjalankan keseluruhan spyware, dengan kemampuan untuk menangkap tangkapan layar, menghentikan proses, mengeksekusi executable arbitrer, melakukan operasi file, dan mengunggah data ke server jauh.

Kerangka kerja yang dikembangkan khusus juga dilengkapi dengan komponen ketiga di mana file HTA kedua diunduh dari domain yang sama untuk menyebarkan sumber terbuka AllaKore agen jarak jauh, berpotensi dalam upaya alternatif untuk mempertahankan akses ke jaringan yang disusupi.

“Sementara target aktor ancaman ini sejauh ini tetap berada di kawasan Asia Selatan dan Tengah, mereka terbukti efektif dalam mendapatkan akses ke jaringan yang diminati,” kata para peneliti. “Meskipun sebelumnya mengandalkan kerangka kerja sumber terbuka seperti AllaKore, aktor tersebut dapat tetap efektif dan memperluas kemampuannya dengan pengembangan agen Svchostt dan komponen lain dari proyek ReverseRat.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *