Een bedreigingsacteur met banden met Pakistan is waargenomen gericht op verschillende sectoren in India met verschillende externe toegang Trojaanse paarden zoals Xeno Rat, Spark Rat en een eerder zonder papieren malware -familie genaamd Curlback Rat.
De activiteit, gedetecteerd door Seqrite in december 2024, richtte zich op Indiase entiteiten onder spoorweg-, olie- en gas- en externe affaires ministeries, die een uitbreiding markeren van de richt van de footprint van de hacking tot de overheid, defensie, maritieme sectoren en universiteiten.
“Een opmerkelijke verschuiving in recente campagnes is de overgang van het gebruik van HTML -applicatie (HTA) -bestanden naar het gebruik van Microsoft Installer (MSI) -pakketten als een primair ensceneringsmechanisme,” zei beveiligingsonderzoeker Sathwik Ram Prakki.
Sidecopy wordt vermoed dat het een subcluster is binnen transparante stam (aka apt36) die sinds minstens 2019 actief is. Het is zo genoemd om de aanvalsketens na te bootsen die zijn geassocieerd met een andere dreigingsacteur genaamd Sidewinder om zijn eigen ladingen te leveren.
In juni 2024 benadrukte Seqrite het gebruik van Sidecopy van verdoezelde HTA -bestanden, met behulp van technieken die eerder werden waargenomen bij Sidewinder -aanvallen. De bestanden bleken ook verwijzingen te bevatten naar URL’s die RTF -bestanden hebben gehost die door Sidewinder werden geïdentificeerd.
De aanvallen culmineerden in de implementatie van actieratten en reverserat, twee bekende malwarefamilies toegeschreven aan Sidecopy, en verschillende andere payloads, waaronder CheEX om documenten en afbeeldingen te stelen, een USB-kopieerapparaat tot siphon-gegevens van bijgevoegde schijven, en een .Net-gebaseerde geta rat die capable is om 30 commando’s te uitvoeren.
De rat is uitgerust om zowel firefox als op chroom gebaseerde browsergegevens van alle accounts, profielen en cookies te stelen, een functie geleend van asyncrat.
“APT36 Focus ligt op grote linux -systemen, terwijl Sidecopy richt op Windows -systemen die nieuwe payloads toevoegen aan zijn arsenaal,” merkte Seqrite destijds op.
De nieuwste bevindingen tonen een voortdurende rijping van de hackgroep, die tot zijn recht komt, terwijl het gebruik van e-mailgebaseerde phishing als distributievector voor malware. Deze e -mailberichten bevatten verschillende soorten kunstaasdocumenten, variërend van vakantielijsten voor spoorwegpersoneel tot richtlijnen voor cybersecurity uitgegeven door een openbare onderneming genaamd de Hindustan Petroleum Corporation Limited (HPCL).
Een cluster van activiteit is met name opmerkelijk, gezien het vermogen om zowel Windows- als Linux-systemen te richten, wat uiteindelijk leidt tot de implementatie van een platformonafhankelijke externe toegang Trojan, bekend als Spark Rat en een nieuwe Windows-gebaseerde malware-codeaam CoRlback Rat die systeeminformatie kan verzamelen, bestanden van de host kunnen downloaden van de host, uitvoeren van arbitrage opdrachten, verhoogde voorrechten, en lijst gebruikersaccounts.
Een tweede cluster is waargenomen met behulp van de Decoy-bestanden als een manier om een multi-steps infectieproces te initiëren dat een aangepaste versie van Xeno Rat laat vallen, met basismethoden voor het manipulatiemanipulatie.
“De groep is verschoven van het gebruik van HTA-bestanden naar MSI-pakketten als een primair ensceneringsmechanisme en blijft geavanceerde technieken gebruiken zoals DLL-side-loading, reflecterende laden en AES-decodering via PowerShell,” zei het bedrijf.
“Bovendien maken ze gebruik van aangepaste open-source tools zoals Xeno Rat en Spark Rat, samen met het implementeren van de nieuw geïdentificeerde curlback-rat. Gecompromitteerde domeinen en nepsites worden gebruikt voor phishing en payloadhosting, waarbij de voortdurende inspanningen van de groep worden benadrukt om de persistentie te verbeteren en de detectie te ontwijken.”
