Μια hacking ομάδα, που παρακολουθείται με το όνομα ModifiedElephant, χρησιμοποιεί τακτικές που της επέτρεπαν να λειτουργεί με απόλυτη μυστικότητα εδώ και μια δεκαετία, αφού οι ερευνητές ασφαλείας δεν είχαν καταφέρει να συνδέσουν τις επιθέσεις μαζί τους.
Οι συγκεκριμένοι hackers φαίνεται πως χρησιμοποιούν υπάρχοντα trojans, και μέσω spear-phishing επιθέσεων, στοχεύουν υπερασπιστές ανθρωπίνων δικαιωμάτων, υπερασπιστές της ελευθερίας του λόγου, ακαδημαϊκούς και δικηγόρους στην Ινδία. Αυτές οι επιθέσεις πραγματοποιούνται τουλάχιστον από το 2012.
Δείτε επίσης: Microsoft: Διορθώνει σφάλμα στο Defender που επιτρέπει παράκαμψη των σαρώσεων για malware
Τα κακόβουλα emails παραδίδουν keyloggers και trojan απομακρυσμένης πρόσβασης (RAT) όπως το NetWire και το DarkComet. Χρησιμοποιούνται ακόμη και για τη διανομή Android malware.
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Ερευνητές της SentinelLabs περιέγραψαν σε μια έκθεση τις τακτικές της hacking ομάδας ModifiedElephant, εξηγώντας πώς πρόσφατα δημοσιευμένα στοιχεία τους βοήθησαν να αποδώσουν προηγούμενες επιθέσεις σε αυτούς τους hackers.
Οι ερευνητές παρατήρησαν σημαντικές ομοιότητες στην υποδομή που χρησιμοποιήθηκε σε πολλαπλές καμπάνιες μεταξύ 2013 και 2019, καθώς και συνέπεια στα malware που αναπτύσσονταν σε αυτές τις καμπάνιες.
Προηγούμενες hacking εκστρατείες
Όπως είπαμε παραπάνω, η ModifiedElephant βασιζόταν σε spear-phishing emails με κακόβουλα συνημμένα για πάνω από μια δεκαετία. Ωστόσο, οι τεχνικές της εξελίσσονταν κατά τη διάρκεια αυτής της περιόδου.
Παρακάτω μπορείτε να δείτε μερικές από τις τεχνικές των hackers:
- 2013: οι hackers χρησιμοποιούν συνημμένα μέσα σε email με πλαστές διπλές επεκτάσεις (file.pdf.exe) για να εγκαταστήσουν κακόβουλο λογισμικό στα συστήματα των θυμάτων
- 2015: η ομάδα χρησιμοποιεί συνημμένα RAR που προστατεύονται με κωδικό πρόσβασης που περιέχουν και νόμιμα έγγραφα που καλύπτουν τα σημάδια εκτέλεσης κακόβουλου λογισμικού
- 2019: η ModifiedElephant αρχίζει να φιλοξενεί malware-dropping sites και να καταχράται υπηρεσίες φιλοξενίας cloud, μεταβαίνοντας από πλαστά έγγραφα σε κακόβουλους συνδέσμους
- 2020: οι επιτιθέμενοι χρησιμοποιούν αρχεία RAR μεγάλου μεγέθους (300 MB) για να αποφύγουν τον εντοπισμό παρακάμπτοντας τις σαρώσεις
Δείτε επίσης: Ψεύτικοι Windows 11 upgrade installers σας μολύνουν με malware RedLine
Σε πολλές περιπτώσεις, τα συνημμένα έγγραφα αξιοποιούσαν γνωστά exploits για την εκτέλεση κακόβουλου λογισμικού, συμπεριλαμβανομένων των CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 και CVE-2015-1641.
Όσον αφορά στα θέματα που χρησιμοποιούσαν στα emails για να δελεάσουν τα θύματα, σχετίζονταν με πολιτικά ζητήματα και ήταν προσαρμοσμένα για το κάθε θύμα.
Οι ερευνητές παρατήρησαν ότι η hacking ομάδα ModifiedElephant δεν χρησιμοποιεί (ή δεν το έχουν ανακαλύψει οι ερευνητές) custom backdoors, επομένως δεν φαίνεται να είναι πολύ “εξελιγμένη”.
Τα βασικά malware που αναπτύσσονται στις καμπάνιες της είναι το NetWire και το DarkComet, δύο trojan που επιτρέπουν την απομακρυσμένη πρόσβαση και που είναι δημόσια διαθέσιμα και χρησιμοποιούνται ευρέως από πολλούς εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: Ρωσία: Συνελήφθη τρίτη ομάδα hacking που έκλεβε πιστωτικές κάρτες
Επίσης, το Visual Basic keylogger που χρησιμοποιείται από τη ModifiedElephant παραμένει το ίδιο από το 2012 και είναι δωρεάν διαθέσιμο σε hacking φόρουμ όλα αυτά τα χρόνια. Η SentinelLabs σχολιάζει την αρχαιότητα του εργαλείου, τονίζοντας ότι δεν λειτουργεί πλέον ούτε σε σύγχρονες εκδόσεις λειτουργικού συστήματος.
Το Android malware που χρησιμοποιούν είναι, επίσης, ένα commodity trojan, που παραδίδεται στα θύματα με τη μορφή ενός APK. Οι hackers εξαπατούν τα θύματα να το εγκαταστήσουν μόνοι τους παρουσιάζοντάς το ως μια εφαρμογή ειδήσεων ή ένα ασφαλές εργαλείο ανταλλαγής μηνυμάτων.
Υποστηρίζονται από κάποια κυβέρνηση;
Η SentinelLabs κάνει αρκετούς συσχετισμούς μεταξύ του χρόνου συγκεκριμένων επιθέσεων της ModifiedElephant και της σύλληψης στόχων που ακολούθησαν λίγο αργότερα.
Αυτή η σύμπτωση, σε συνδυασμό με το εύρος στόχευσης, που ευθυγραμμίζεται με τα συμφέροντα του ινδικού κράτους, δημιουργεί μια πολύ πιθανή υπόθεση ότι οι hackers χρηματοδοτούνται από την κυβέρνηση της Ινδίας. Ωστόσο, αυτό δεν είναι εξακριβωμένο.
Πάντως, οι περισσότερες επιθέσεις σε ακτιβιστές και ακαδημαϊκούς δεν έχουν οικονομικό κίνητρο. Επομένως, είναι πιθανό να υπάρχουν πολιτικά κίνητρα πίσω από τις επιθέσεις της ModifiedElephant.
Πηγή: Bleeping Computer