Araştırmacılar Pakistanlı Hackerların Hindistan ve Afgan Hükümetlerini Nasıl Hedeflediğini Detaylandırıyor
Pakistanlı bir tehdit aktörü, hedeflerinden hassas Google, Twitter ve Facebook kimlik bilgilerini çalmak ve hükümet portallarına gizlice erişim sağlamak için Afganistan'daki bir dizi bakanlığı ve Hindistan'da paylaşılan bir hükümet bilgisayarını başarıyla sosyal olarak tasarladı.
Malwarebytes'in en son bulguları, SideWinder olarak izlenen başka bir grupla ilişkili enfeksiyon zincirlerini taklit etme girişimleri ve yanlış yönlendirme nedeniyle sözde SideCopy olarak bilinen APT grubu tarafından benimsenen yeni taktikler ve araçlar hakkında ayrıntılı bilgi veriyor.
Malwarebytes araştırmacısı Hossein Jazi, "SideCopy APT tarafından kullanılan yemler genellikle şu dosyalardan birinin gömülü olduğu arşiv dosyalarıdır: LNK, Microsoft Publisher veya Truva Atlanmış Uygulamalar." Hindistan.
Vahiy, Meta'nın, Afgan hükümeti, ordusu ve Kabil'deki kolluk kuvvetleriyle bağları olan bireyleri tehlikeye atmak için romantik yemler kullanarak, grubun platformunda gerçekleştirdiği kötü niyetli faaliyetleri engellemek için adımlar attığının ifşa edilmesinin hemen ardından geldi.
Öne çıkan saldırılardan bazıları, Afganistan Devlet Başkanlığı
(AOP) Yönetim Ofisi ile Dışişleri Bakanlığı, Maliye Bakanlığı ve Ulusal Satın Alma Otoritesi ile bağlantılı personele karşı gerçekleştirildi ve sosyal medya şifrelerinin çalınmasıyla sonuçlandı. parola korumalı belgeler. SideCopy ayrıca Hindistan'da paylaşılan bir bilgisayara girdi ve hükümet ve eğitim hizmetlerinden kimlik bilgilerini topladı.
(AOP) Yönetim Ofisi ile Dışişleri Bakanlığı, Maliye Bakanlığı ve Ulusal Satın Alma Otoritesi ile bağlantılı personele karşı gerçekleştirildi ve sosyal medya şifrelerinin çalınmasıyla sonuçlandı. parola korumalı belgeler. SideCopy ayrıca Hindistan'da paylaşılan bir bilgisayara girdi ve hükümet ve eğitim hizmetlerinden kimlik bilgilerini topladı.
Ek olarak, aktörün, Afgan hükümetinin web sitelerinden kimlik kartları, diplomatik vizeler ve varlık kayıtları ile ilgili bilgileri içeren yetkililerin ve veritabanlarının adları, numaraları ve e-posta adresleri de dahil olmak üzere çeşitli Microsoft Office belgelerini sifonladığı söyleniyor. Gelecekteki tuzaklar olarak kullanılması veya bireylerin kendilerine karşı daha fazla saldırıyı körüklemesi bekleniyor.
Malwarebytes tarafından gözlemlenen siber casusluk kampanyası, hedefin cazibe belgesini açmasını içeriyor ve bu da, dosyaları karşıya yükleyebilen, bir sunucudan alınan komutları yürütebilen ActionRAT adlı bir sonraki aşama uzaktan erişim truva atını bırakmak için kullanılan bir yükleyicinin yürütülmesine yol açıyor. ve hatta daha fazla yük indirin.
Ayrıca yükleyici tarafından bırakılan, bilgileri HTTP veya TCP üzerinden sunucusuna sızdırmadan önce Microsoft Office dosyalarını, PDF belgelerini, metin dosyalarını, veritabanı dosyalarını ve görüntüleri toplamak üzere programlanan AuTo Stealer adlı yeni bir bilgi hırsızıdır.
Bu, SideCopy APT'nin taktiklerinin ilk kez gün ışığına çıkması değil. Eylül 2020'de siber güvenlik firması Quick Heal, hassas bilgileri çalmak amacıyla en az 2019'dan beri Hindistan savunma birimlerine ve silahlı kuvvetler personeline yönelik bir casusluk saldırısının ayrıntılarını açıkladı.
Daha sonra bu Temmuz'un başlarında, Cisco Talos araştırmacıları, Hindistan'daki varlıkları hedef alan kötü amaçlı yazılım kampanyalarının genişlemesi olarak adlandırdıkları şeyde, bilgisayar korsanlığı grubunun CetaRAT, Allakore ve njRAT gibi ısmarlama ve ticari uzaktan erişim truva atları sunan sayısız enfeksiyon zincirini ortaya çıkardı.