Ερευνητές ασφαλείας ανακάλυψαν στοιχεία για μια εκστρατεία κατασκοπείας που βρίσκεται σε εξέλιξη με στόχο τον στρατό (αμυντικές και ένοπλες δυνάμεις) της Ινδίας, τουλάχιστον από το 2019. Η εκστρατεία αποσκοπεί στην κλοπή ευαίσθητων κι εμπιστευτικών πληροφοριών.
Οι επιθέσεις που εκτελούνται στην εν λόγω εκστρατεία κατασκοπείας, την οποία η ινδική εταιρεία κυβερνοασφάλειας “Quick Heal” ονόμασε “Operation SideCopy”, έχουν αποδοθεί σε μια APT hacking ομάδα, η οποία κατάφερε να παραμείνει στην αφάνεια “αντιγράφοντας” τις τακτικές άλλων συμμοριών, όπως είναι για παράδειγμα η SideWinder.
Η εκστρατεία κατασκοπείας που έχει στόχο τον στρατό της Ινδίας ξεκινά με την αποστολή ενός email, το οποίο περιέχει ένα κακόβουλο συνημμένο – είτε αρχείο ZIP που περιέχει αρχείο LNK είτε έγγραφο Word – που ενεργοποιεί μια αλυσίδα μόλυνσης, μέσω μιας σειράς βημάτων, για τη λήψη του payload τελικού σταδίου.
Εκτός από τον εντοπισμό τριών διαφορετικών αλυσίδων μόλυνσης, αξίζει να σημειωθεί το γεγονός ότι έγινε εκμετάλλευση του template injection και της ευπάθειας του Microsoft Equation Editor (CVE-2017-11882), ενός 20ετούς ζητήματος αλλοίωσης μνήμης στο Microsoft Office, το οποίο, στις περιπτώσεις που οι χάκερς το εκμεταλλεύτηκαν επιτυχώς, μπόρεσαν να εκτελέσουν απομακρυσμένο κώδικα σε μία ευάλωτη συσκευή, ακόμη και χωρίς την αλληλεπίδραση του χρήστη. Η Microsoft αντιμετώπισε το ζήτημα με μια ενημερωμένη έκδοση κώδικα που κυκλοφόρησε τον Νοέμβριο του 2017.
Σε τέτοιες εκστρατείες, η επίθεση βασίζεται συνήθως στο social engineering, με στόχο να παρακινήσει έναν χρήστη να ανοίξει ένα φαινομενικά ρεαλιστικό έγγραφο Word, που υποτίθεται ότι αφορά την αμυντική πολιτική της ινδικής κυβέρνησης.
Επιπλέον, τα αρχεία LNK έχουν διπλή επέκταση (“Defense-Production-Policy-2020.docx.lnk”) και έρχονται με εικονίδια εγγράφων, τα οποία παρακινούν ένα ανυποψίαστο θύμα να ανοίξει το αρχείο. Μόλις ανοίξει ο χρήστης το αρχείο, τα αρχεία LNK εκτελούν κακόβουλα αρχεία HTA (συντομογραφία για εφαρμογές HTML της Microsoft) που φιλοξενούνται σε “δόλια” sites, με τα αρχεία HTA να δημιουργούνται με την χρήση ενός εργαλείου δημιουργίας payload ανοιχτού κώδικα που ονομάζεται CACTUSTORCH.
Το αρχείο HTA πρώτου σταδίου περιλαμβάνει ένα decoy έγγραφο και ένα κακόβουλο module .NET που εκτελεί το εν λόγω έγγραφο και κατεβάζει ένα αρχείο HTA δεύτερου σταδίου, το οποίο με τη σειρά του ελέγχει για την παρουσία δημοφιλών λύσεων antivirus, προτού αντιγράψει το βοηθητικό πρόγραμμα επιστροφής και επαναφοράς credentials της Microsoft (“credwiz.exe”) σε διαφορετικό φάκελο στη συσκευή του θύματος και να τροποποιήσει το μητρώο για να εκτελείται το αντιγραφόμενο εκτελέσιμο κάθε φορά κατά την εκκίνηση.
Επομένως, όταν εκτελείται αυτό το αρχείο, όχι μόνο φορτώνει ένα κακόβουλο αρχείο “DUser.dll”, αλλά ξεκινά επίσης το RAT module “winms.exe” – και τα δύο λαμβάνονται από το HTA δευτέρου σταδίου. Αυτό το DUser.dll θα ξεκινήσει τη σύνδεση μέσω της διεύθυνσης IP ‘173.212.224.110’ μέσω της θύρας TCP 6102. Μόλις συνδεθεί επιτυχώς, θα εκτελέσει διάφορες λειτουργίες βάσει της εντολής που λαμβάνεται από τον command-and-control server (C2). Για παράδειγμα, εάν ο C2 στέλνει 0, τότε συλλέγει το όνομα υπολογιστή, το όνομα χρήστη, την έκδοση OS κτλ., και τα στέλνει στον C2.
Αναφέροντας ότι το RAT έχει ομοιότητες σε επίπεδο κώδικα με το Allakore Remote, ένα open-source λογισμικό απομακρυσμένης πρόσβασης, η Quick Heal ανέφερε ότι το trojan χρησιμοποίησε το πρωτόκολλο RFB (Remote Frame Buffer) του Allakore, για την αποβολή δεδομένων από το μολυσμένο σύστημα.
Επιπλέον, μερικές αλυσίδες επίθεσης λέγεται ότι “ρίχνουν” ένα (προηγουμένως αόρατο) .NET-based RAT, που οι ερευνητές της Kaspersky ονόμασαν “Crimson RAT”, το οποίο έχει διάφορες δυνατότητες, όπως η πρόσβαση σε αρχεία, ενώ μπορεί ακόμη και να εκτελέσει αυθαίρετα εντολές.
Όπως αναφέρει το “The Hacker News”, παρόλο που ο τρόπος λειτουργίας της ονομασίας αρχείων DLL έχει ομοιότητες με την ομάδα SideWinder, η μεγάλη εξάρτηση του APT στο σύνολο εργαλείων ανοιχτής προέλευσης και μια εντελώς διαφορετική υποδομή C2, οδήγησε τους ερευνητές στο συμπέρασμα ότι ο απειλητικός παράγοντας είναι πακιστανικής καταγωγής και συγκεκριμένα η ομάδα Transparent Tribe, η οποία συνδέθηκε πρόσφατα με πολλές επιθέσεις που είχαν ως στόχο το προσωπικό που στελεχώνει την κυβέρνηση και τον στρατό της Ινδίας. Έτσι, η Quick Heal εκτιμά ότι ο απειλητικός παράγοντας που βρίσκεται πίσω από αυτήν την εκστρατεία αποτελεί μέρος της APT ομάδας Transparent Tribe και αντιγράφει απλώς τεχνικές άλλων hacking ομάδων για να παραπλανήσει τους επαγγελματίες ασφαλείας.
 της Ινδίας.){kind=link}