Bedreigingsactoren met banden met Pakistan zijn in verband gebracht met een langlopende malwarecampagne genaamd Operatie Hemelse Kracht sinds tenminste 2018.
De activiteit, die nog steeds aan de gang is, omvat het gebruik van een Android-malware genaamd GravityRAT en een Windows-gebaseerde malware-lader met de codenaam HeavyLift, volgens Cisco Talos, die worden beheerd met behulp van een andere zelfstandige tool genaamd GravityAdmin.
De cyberbeveiliging schreef de inbraak toe aan een tegenstander die zij volgt onder de naam Cosmic Leopard (ook bekend als SpaceCobra), die volgens hen een zekere mate van tactische overlap vertoont met Transparent Tribe.
“Operatie Celestial Force is in ieder geval sinds 2018 actief en blijft tot op de dag van vandaag actief – waarbij steeds meer gebruik wordt gemaakt van een zich uitbreidende en evoluerende malwaresuite – wat aangeeft dat de operatie waarschijnlijk een hoge mate van succes heeft gekend en zich richt op gebruikers op het Indiase subcontinent”, aldus beveiligingsonderzoekers Asheer Malhotra. en Vitor Ventura zeiden in een technisch rapport gedeeld met The Hacker News.
GravityRAT kwam voor het eerst aan het licht in 2018 als een Windows-malware die zich richtte op Indiase entiteiten via spearphishing-e-mails en beschikt over een steeds evoluerende reeks functies om gevoelige informatie van gecompromitteerde hosts te verzamelen. Sindsdien is de malware geporteerd om te werken op Android- en macOS-besturingssystemen, waardoor het een tool voor meerdere platforms is geworden.
Latere bevindingen van Meta en ESET vorig jaar brachten aanhoudend gebruik van de Android-versie van GravityRAT aan het licht om militair personeel in India en de Pakistaanse luchtmacht aan te vallen door het te vermommen als cloudopslag-, entertainment- en chat-apps.
De bevindingen van Cisco Talos brengen al deze ongelijksoortige maar gerelateerde activiteiten onder een gemeenschappelijke paraplu, gedreven door bewijsmateriaal dat erop wijst dat de bedreigingsacteur GravityAdmin gebruikt om deze aanvallen te orkestreren.
Er is voornamelijk waargenomen dat Cosmic Leopard gebruik maakt van spearphishing en social engineering om vertrouwen te wekken bij potentiële doelwitten, voordat ze hen een link sturen naar een kwaadaardige site die hen de opdracht geeft een ogenschijnlijk onschadelijk programma te downloaden dat GravityRAT of HeavyLift laat vallen, afhankelijk van het gebruikte besturingssysteem.
GravityRAT zou al in 2016 in gebruik zijn genomen. GravityAdmin daarentegen is een binair bestand dat sinds ten minste augustus 2021 wordt gebruikt om geïnfecteerde systemen te besturen door verbindingen tot stand te brengen met GravityRAT en de command-and-control (C2)-servers van HeavyLift. .
“GravityAdmin bestaat uit meerdere ingebouwde gebruikersinterfaces (UI's) die overeenkomen met specifieke campagnes met een codenaam die worden uitgevoerd door kwaadwillende operators”, merkten de onderzoekers op. 'FOXTROT', 'CLOUDINFINITY' en 'CHATICO' zijn bijvoorbeeld namen die worden gegeven aan alle op Android gebaseerde GravityRAT-infecties, terwijl 'CRAFTWITHME', 'SEXYBER' en 'CVSCOUT' namen zijn voor aanvallen waarbij HeavyLift wordt ingezet.'
Het nieuw ontdekte onderdeel van het arsenaal van de bedreigingsacteur is HeavyLift, een op Electron gebaseerde malware-laderfamilie die wordt verspreid via kwaadaardige installatieprogramma's die zich richten op het Windows-besturingssysteem. Het heeft ook overeenkomsten met GravityRAT's Electron-versies die eerder door Kaspersky in 2020 werden gedocumenteerd.
Zodra de malware is gelanceerd, is hij in staat systeemmetagegevens te verzamelen en te exporteren naar een hardgecodeerde C2-server, waarna deze periodiek de server controleert op nieuwe payloads die op het systeem moeten worden uitgevoerd. Bovendien is het ontworpen om soortgelijke functies ook op macOS uit te voeren.
“Deze meerjarige operatie was voortdurend gericht op Indiase entiteiten en individuen die waarschijnlijk tot de defensie-, overheids- en aanverwante technologiesectoren behoorden”, aldus de onderzoekers.
