Một nhóm gián điệp mạng đã được quan sát thấy ngày càng nhắm mục tiêu vào các nhân viên chính phủ Ấn Độ như một phần của chiến dịch rộng rãi nhằm lây nhiễm cho nạn nhân tới bốn trojan truy cập từ xa tùy chỉnh mới (RAT), báo hiệu một “sự thúc đẩy trong hoạt động phát triển của họ.”
Được gán cho một nhóm được theo dõi là SideCopy, các cuộc xâm nhập lên đến đỉnh điểm trong việc triển khai nhiều plugin mô-đun khác nhau, từ người liệt kê tệp đến kẻ đánh cắp thông tin xác thực của trình duyệt và keylogger (Xeytan và Lavao), Cisco Talos cho biết trong một báo cáo được công bố hôm thứ Tư.
“Các chiến thuật và chủ đề nhắm mục tiêu được quan sát trong các chiến dịch SideCopy cho thấy mức độ tương đồng cao với Bộ lạc minh bạch APT (hay còn gọi là APT36) cũng nhắm mục tiêu đến Ấn Độ”, các nhà nghiên cứu Asheer Malhotra và Justin Thattil nói. “Chúng bao gồm việc sử dụng mồi nhử làm tài liệu hoạt động của quân đội và các tổ chức tư vấn và nhiễm trùng dựa trên honeytrap.”
Được ghi nhận lần đầu tiên vào tháng 9 năm 2020 bởi công ty an ninh mạng Ấn Độ Quick Heal, SideCopy có lịch sử bắt chước các chuỗi lây nhiễm do Sidewinder APT triển khai để cung cấp bộ phần mềm độc hại của riêng nó – nhằm đánh lừa sự phân bổ và trốn tránh sự phát hiện – trong khi liên tục trang bị lại các trọng tải bao gồm các hoạt động khai thác bổ sung trong vũ khí của nó sau khi do thám dữ liệu và môi trường của nạn nhân .
Kẻ thù cũng được cho là người gốc Pakistan, có mối quan hệ tình nghi với Bộ lạc trong suốt (hay còn gọi là Mythic Leopard), có liên quan đến một số cuộc tấn công nhắm vào quân đội và các thực thể chính phủ Ấn Độ. Các chiến dịch trước đây do kẻ đe dọa thực hiện liên quan đến việc sử dụng các chiêu dụ liên quan đến chính phủ và quân đội để tiêu diệt các đơn vị quốc phòng và nhân viên lực lượng vũ trang của Ấn Độ và cung cấp phần mềm độc hại có khả năng truy cập tệp, dữ liệu khay nhớ tạm, kết thúc quy trình và thậm chí thực hiện các lệnh tùy ý.
Làn sóng tấn công mới nhất tận dụng vô số TTP, bao gồm các tệp LNK độc hại và tài liệu giả mạo, để cung cấp sự kết hợp của các RAT hàng hóa có sẵn và thương mại riêng như CetaRAT, DetaRAT, ReverseRAT, MargulasRAT, njRAT, Allakore, ActionRAT, Lillith và Epicenter CON CHUỘT. Ngoài các chủ đề quân sự, SideCopy cũng đã được phát hiện sử dụng các cuộc gọi đề xuất và tuyển dụng liên quan đến các cơ quan tư vấn ở Ấn Độ để nhắm mục tiêu các nạn nhân tiềm năng.
Malhotra và Thattil lưu ý: “Sự phát triển của phần mềm độc hại RAT mới là một dấu hiệu cho thấy nhóm những kẻ tấn công này đang phát triển nhanh chóng kho vũ khí phần mềm độc hại và các công cụ sau lây nhiễm kể từ năm 2019”. Các nhà nghiên cứu cho biết, những cải tiến này cho thấy nỗ lực mô-đun hóa chuỗi tấn công, đồng thời thể hiện sự gia tăng độ tinh vi của các chiến thuật của nhóm, các nhà nghiên cứu cho biết.
Bên cạnh việc triển khai các backdoor chính thức, SideCopy cũng đã được quan sát sử dụng các plugin để thực hiện các nhiệm vụ độc hại cụ thể trên điểm cuối bị nhiễm, chủ yếu trong số đó là một mô-đun dựa trên Golang có tên “Nodachi” được thiết kế để tiến hành do thám và đánh cắp các tệp nhắm mục tiêu chính phủ- giải pháp xác thực hai yếu tố bắt buộc được gọi là Kavach, được yêu cầu để truy cập các dịch vụ email.
Các nhà nghiên cứu cho biết, mục đích là đánh cắp thông tin xác thực truy cập từ các nhân viên chính phủ Ấn Độ với trọng tâm là hoạt động gián điệp, các nhà nghiên cứu cho biết, đồng thời cho biết thêm kẻ đe dọa đã phát triển ống nhỏ giọt cho MargulasRAT giả mạo là trình cài đặt cho Kavach trên Windows.
Nhà nghiên cứu phần mềm độc hại @ 0xrb, người cũng đang theo dõi chiến dịch một cách độc lập, đã liên hệ với The Hacker News với hai IP khác được những kẻ tấn công SideCopy sử dụng để kết nối với máy chủ điều khiển và chỉ huy – 103[.]255.7.33 và 115[.]186.190.155 – cả hai đều nằm ở thành phố Islamabad, cho thấy nguồn gốc người Pakistan của kẻ đe dọa.
Các nhà nghiên cứu kết luận: “Những gì bắt đầu như một vector lây nhiễm đơn giản của SideCopy để cung cấp RAT tùy chỉnh (CetaRAT), đã phát triển thành nhiều biến thể của chuỗi lây nhiễm cung cấp một số RAT”, các nhà nghiên cứu kết luận. “Việc sử dụng nhiều kỹ thuật lây nhiễm này – từ các tệp LNK đến RAR EXE tự giải nén và trình cài đặt dựa trên MSI – là một dấu hiệu cho thấy kẻ này đang tích cực làm việc để lây nhiễm nạn nhân của họ.”
