Er is een geavanceerde dreigingsactor met een link met India waargenomen die gebruikmaakt van meerdere cloud serviceproviders om het verzamelen van inloggegevens, het leveren van malware en command-and-control (C2) te vergemakkelijken.
Het webinfrastructuur- en beveiligingsbedrijf Cloudflare houdt de activiteit bij onder de naam SlordigeLemmingdie ook wel Outrider Tiger en Fishing Elephant wordt genoemd.
“Tussen eind 2022 en nu heeft SloppyLemming routinematig gebruikgemaakt van Cloudflare Workers, waarschijnlijk als onderdeel van een brede spionagecampagne gericht op landen in Zuid- en Oost-Azië”, aldus Cloudflare in een analyse.
SloppyLemming is naar schatting actief sinds ten minste juli 2021, met eerdere campagnes die gebruikmaakten van malware zoals Ares RAT en WarHawk, waarvan de laatste ook is gelinkt aan een bekende hackerscrew genaamd SideWinder. Het gebruik van Ares RAT is daarentegen gelinkt aan SideCopy, een dreigingsactor die waarschijnlijk van Pakistaanse afkomst is.
Doelwitten van SloppyLemming zijn onder meer overheids-, rechtshandhavings-, energie-, onderwijs-, telecommunicatie- en technologiebedrijven in Pakistan, Sri Lanka, Bangladesh, China, Nepal en Indonesië.
De aanvalsketen bestaat uit het versturen van spear-phishingmails naar doelwitten. De bedoeling is om ontvangers ertoe te verleiden op een schadelijke link te klikken. Dit gebeurt door een vals gevoel van urgentie te creëren. De ontvangers zouden binnen 24 uur een verplicht proces moeten voltooien.
Wanneer het slachtoffer op de URL klikt, wordt hij doorgestuurd naar een pagina waar inloggegevens worden verzameld. Deze pagina fungeert vervolgens als mechanisme waarmee de kwaadwillende partij ongeautoriseerde toegang kan krijgen tot e-mailaccounts binnen organisaties die interessant voor hem zijn.
“De hacker gebruikt een speciaal ontwikkelde tool genaamd CloudPhish om een schadelijke Cloudflare Worker te creëren die de loglogica van inloggegevens en het lekken van de inloggegevens van het slachtoffer naar de kwaadwillende hacker afhandelt”, aldus het bedrijf.
Bij sommige aanvallen van SloppyLemming worden vergelijkbare technieken gebruikt om Google OAuth-tokens te bemachtigen en worden RAR-archieven met boobytraps (“CamScanner 06-10-2024 15.29.rar”) gebruikt. Deze boobytraps maken waarschijnlijk gebruik van een WinRAR-fout (CVE-2023-38831) om code op afstand uit te voeren.
In het RAR-bestand bevindt zich een uitvoerbaar bestand dat, naast het weergeven van het lokdocument, stiekem “CRYPTSP.dll” laadt. Dit bestand dient als downloader om een trojan voor externe toegang op Dropbox op te halen.
Het is de moeite waard om hier te vermelden dat cybersecuritybedrijf SEQRITE een soortgelijke campagne beschreef die vorig jaar door de SideCopy-actoren werd uitgevoerd. Deze campagne was gericht op de Indiase overheid en defensiesector en was bedoeld om de Ares RAT te verspreiden via ZIP-archieven met de naam ‘DocScanner_AUG_2023.zip’ en ‘DocScanner-Oct.zip’. Deze zijn ontworpen om dezelfde kwetsbaarheid te activeren.
Een derde infectiesequentie die SloppyLemming toepast, bestaat uit het gebruik van spear-phishing-lokaas om potentiële slachtoffers naar een nepwebsite te leiden die zich voordoet als de Punjab Information Technology Board (PITB) in Pakistan. Vervolgens worden ze doorgestuurd naar een andere site die een internet-snelkoppeling (URL) bevat.
Het URL-bestand bevat code om een ander bestand te downloaden, een uitvoerbaar bestand met de naam PITB-JR5124.exe, van dezelfde server. Het binaire bestand is een legitiem bestand dat wordt gebruikt om een rogue DLL genaamd profapi.dll te sideloaden die vervolgens communiceert met een Cloudflare Worker.
Deze Cloudflare Worker-URL’s fungeren als tussenpersoon en sturen verzoeken door naar het daadwerkelijke C2-domein dat door de tegenstander wordt gebruikt (“aljazeerak(.)online”), aldus het bedrijf.
Cloudflare meldde dat het “gecoördineerde pogingen van SloppyLemming heeft waargenomen om Pakistaanse politieafdelingen en andere wetshandhavingsorganisaties aan te vallen”, en voegde daaraan toe dat “er aanwijzingen zijn dat de dader entiteiten heeft aangevallen die betrokken zijn bij de exploitatie en het onderhoud van Pakistans enige kerncentrale.”
Andere doelwitten van de activiteiten op het gebied van het verzamelen van inloggegevens zijn onder meer overheids- en militaire organisaties in Sri Lanka en Bangladesh, en in mindere mate Chinese organisaties in de energie- en academische sector.