Theo một nghiên cứu mới, một kẻ đe dọa có mối quan hệ đáng ngờ với Pakistan đã tấn công các tổ chức năng lượng và chính phủ ở khu vực Nam và Trung Á để triển khai một trojan truy cập từ xa trên các hệ thống Windows bị xâm nhập, theo một nghiên cứu mới.
“Hầu hết các tổ chức có dấu hiệu thỏa hiệp là ở Ấn Độ, và một số nhỏ ở Afghanistan”, Phòng thí nghiệm Black Lotus của Lumen nói trong một phân tích hôm thứ Ba. “Các nạn nhân có khả năng bị xâm phạm liên kết với chính phủ và ngành dọc của công ty điện lực.”
Một số nạn nhân bao gồm tổ chức chính phủ nước ngoài, tổ chức truyền tải điện và tổ chức sản xuất và truyền tải điện. Hoạt động bí mật được cho là đã bắt đầu ít nhất vào tháng 1 năm 2021.
Các cuộc xâm nhập đáng chú ý vì một số lý do, đặc biệt là vì ngoài tính chất nhắm mục tiêu cao của nó, các chiến thuật, kỹ thuật và thủ tục (TTP) được đối thủ áp dụng dựa trên mã nguồn mở được thay thế lại và việc sử dụng các miền bị xâm phạm trong cùng quốc gia với thực thể được nhắm mục tiêu để lưu trữ các tệp độc hại của họ.
Đồng thời, nhóm đã cẩn thận che giấu hoạt động của họ bằng cách sửa đổi các khóa đăng ký, cấp cho họ khả năng duy trì sự bền bỉ trên thiết bị mục tiêu mà không thu hút sự chú ý một cách lén lút.
Giải thích về chuỗi lây nhiễm nhiều bước, Lumen lưu ý chiến dịch “dẫn đến việc nạn nhân tải xuống hai tác nhân; một tác nhân nằm trong bộ nhớ, trong khi tác nhân thứ hai được tải bên cạnh, cấp cho tác nhân đe dọa tồn tại trên các máy trạm bị nhiễm.”
Cuộc tấn công bắt đầu bằng một liên kết độc hại được gửi qua email hoặc tin nhắn lừa đảo, khi được nhấp vào, tải xuống tệp lưu trữ ZIP có chứa tệp lối tắt Microsoft (.lnk) và tệp PDF giả mạo từ một miền bị xâm phạm.
Tệp lối tắt, bên cạnh việc hiển thị tài liệu lành tính cho người nhận không nghi ngờ, còn xử lý lén lút tìm nạp và chạy tệp HTA (ứng dụng HTML) từ cùng một trang web bị xâm phạm.
Các tài liệu thu hút phần lớn mô tả các sự kiện phục vụ cho Ấn Độ, ngụy trang như một hướng dẫn sử dụng để đăng ký và đặt lịch hẹn tiêm vắc xin COVID-19 thông qua CoWIN cổng trực tuyến, trong khi một số người khác giả dạng Bombay Sappers, một trung đoàn của Công binh Quân đội Ấn Độ.
Bất kể tài liệu PDF được hiển thị cho nạn nhân là gì, tệp HTA – bản thân nó là một mã JavaScript dựa trên một dự án GitHub được gọi là CactusTorch – được tận dụng để đưa mã shellcode 32 bit vào một quy trình đang chạy để cuối cùng cài đặt một cửa hậu .NET có tên là ReverseRat chạy gam phần mềm gián điệp điển hình, với khả năng chụp ảnh màn hình, kết thúc quy trình, thực thi các tệp thực thi tùy ý, thực hiện các hoạt động tệp và tải lên dữ liệu đến một máy chủ từ xa.
Khung được phát triển tùy chỉnh cũng đi kèm với thành phần thứ ba, trong đó tệp HTA thứ hai được tải xuống từ cùng một miền để triển khai mã nguồn mở AllaKore tác nhân từ xa, có khả năng trong một nỗ lực thay thế để duy trì quyền truy cập vào mạng bị xâm phạm.
Các nhà nghiên cứu cho biết: “Mặc dù các mục tiêu của kẻ đe dọa này cho đến nay vẫn nằm trong khu vực Nam và Trung Á, nhưng chúng đã chứng minh được hiệu quả trong việc tiếp cận các mạng lưới quan tâm,” các nhà nghiên cứu cho biết. “Mặc dù trước đây phụ thuộc vào các khuôn khổ nguồn mở như AllaKore, tác nhân vẫn có thể duy trì hiệu quả và mở rộng khả năng của nó với sự phát triển của tác nhân Svchostt và các thành phần khác của dự án ReverseRat.”
