源自巴基斯坦的SideCopy与针对印度国防部的新网络攻击有关

一个具有针对印度和阿富汗的跟踪记录的高级持续威胁(APT)组织已与提供Action RAT的新网络钓鱼活动相关联。

根据 Cyble 的说法，该行动归因于SideCopy，该活动集群旨在针对印度国防部的研发部门国防研究与发展组织(DRDO)。

SideCopy以模拟与SideWinder相关的感染链来提供自己的恶意软件而闻名，是一个起源于巴基斯坦的威胁组织，与Transparent Tribe有重叠。它至少从 2019 年开始活跃。

该组织发起的攻击序列涉及使用鱼叉式网络钓鱼电子邮件来获得初始访问权限。这些消息带有一个 ZIP 存档文件，其中包含一个Windows快捷方式文件(.LNK)，伪装成有关DRDO开发的K-4弹道导弹的信息。

执行.LNK文件会导致从远程服务器检索HTML应用程序，这反过来会显示诱饵演示文稿，同时还会秘密部署Action RAT后门。

该恶意软件除了收集有关受害机器的信息外，还能够运行从命令和控制(C2)服务器发送的命令，包括收集文件和投放后续恶意软件。

该组织还部署了一种新的信息窃取恶意软件，称为AuTo Stealer，它能够通过HTTP或TCP收集和泄露Microsoft Office文件、PDF 文档、数据库和文本文件以及图像。

“APT小组不断发展其技术，同时将新工具纳入其武器库，”Cyble 指出。

这不是SideCopy第一次在针对印度的攻击中使用Action RAT。2021年12月，Malwarebytes披露了一系列入侵行为，这些入侵行为破坏了阿富汗的多个部委和印度的一台共享政府计算机，以窃取敏感凭证。

最新调查结果是在发现攻击人员使用名为ReverseRAT的远程访问木马以印度政府机构为目标的一个月后得出的。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5484.html