RusticWeb Operasyonu: Rust Tabanlı Kötü Amaçlı Yazılım Hindistan Devlet Kurumlarını Hedef Alıyor

İlk olarak Ekim 2023'te tespit edilen etkinlik, kurumsal güvenlik firması SEQRITE tarafından Operation RusticWeb olarak kodlandı.

Güvenlik araştırmacısı Sathwik Ram Prakki, "Gizli belgeleri özel bir komut ve kontrol (C2) sunucusu yerine web tabanlı bir hizmet motoruna sızdırmak için yeni Rust tabanlı yükler ve şifreli PowerShell komutları kullanıldı" dedi.

Küme ile her ikisinin de Pakistan ile bağlantılı olduğu değerlendirilen Transparent Tribe ve SideCopy takma adları altında yaygın olarak izlenenler arasında taktiksel örtüşmeler ortaya çıkarıldı.

SideCopy ayrıca Transparent Tribe'da şüpheli bir alt unsurdur. Geçen ay SEQRITE, tehdit aktörü tarafından AllaKore RAT, Ares RAT ve DRat gibi çok sayıda truva atı göndermek için Hindistan hükümet organlarını hedef alan çok sayıda kampanyayı detaylandırdı.

ThreatMon tarafından belgelenen diğer yeni saldırı zincirleri, kötü amaçlı yazılım dağıtımı için sahte Microsoft PowerPoint dosyalarının yanı sıra CVE-2023-38831'e duyarlı özel hazırlanmış RAR arşivleri kullanarak dizginsiz uzaktan erişim ve kontrol sağladı.

ThreatMon, bu yılın başlarında, "SideCopy APT Group'un enfeksiyon zinciri, her biri başarılı bir uzlaşma sağlamak için dikkatlice düzenlenmiş birden fazla adım içeriyor" dedi.

En son saldırı seti, bir kimlik avı e-postasıyla başlar ve kurbanları, sahte dosyayı kurbana görüntülerken arka planda dosya sistemini numaralandırmak için Rust tabanlı yükleri bırakan kötü amaçlı PDF dosyalarıyla etkileşime girmeleri için kandırmak için sosyal mühendislik tekniklerinden yararlanır.

Kötü amaçlı yazılım, ilgilenilen dosyaları toplamanın yanı sıra, sistem bilgilerini toplamak ve bunları C2 sunucusuna iletmek için donatılmıştır, ancak siber suçlarda bulunan diğer gelişmiş hırsız kötü amaçlı yazılımlarının özelliklerinden yoksundur.

Aralık ayında SEQRITE tarafından tanımlanan ikinci bir enfeksiyon zinciri, benzer bir çok aşamalı süreç kullanır, ancak Rust kötü amaçlı yazılımını, numaralandırma ve sızdırma adımlarıyla ilgilenen bir PowerShell komut dosyasıyla değiştirir.

Ancak ilginç bir şekilde, son aşama yükü, "Cisco AnyConnect Web Helper" adıyla anılan bir Rust yürütülebilir dosyası aracılığıyla başlatılır. Toplanan bilgiler nihayetinde oshi'ye yüklenir[.] etki alanında, OshiUpload adlı anonim bir genel dosya paylaşım motoru.

Ram Prakki, "RusticWeb Operasyonu, Pakistan bağlantılı çeşitli gruplarla benzerlikler paylaştığı için bir APT tehdidiyle bağlantılı olabilir" dedi.

Açıklama, Cyble'ın DoNot Ekibi tarafından kullanılan ve Hindistan'ın Keşmir bölgesindeki bireyleri hedef alan kötü amaçlı bir Android uygulamasını ortaya çıkarmasından yaklaşık iki ay sonra geldi.

APT-C-35, Origami Elephant ve SECTOR02 isimleriyle de bilinen ulus devlet aktörünün Hint kökenli olduğuna inanılıyor ve Keşmir ve Pakistan'daki insanlara ait cihazlara sızmak için Android kötü amaçlı yazılımı kullanma geçmişine sahip.

Cyble tarafından incelenen varyant, ses ve VoIP aramalarını kaydetmek, ekran görüntüleri yakalamak, çeşitli uygulamalardan veri toplamak, ek APK dosyaları indirmek ve kurbanın konumunu izlemek için çok çeşitli casus yazılım özellikleriyle donatılmış "QuranApp: Oku ve Keşfet" adlı açık kaynaklı bir GitHub projesinin truva atı haline getirilmiş bir sürümüdür.

Cyble, "DoNot grubunun araçlarını ve tekniklerini geliştirmeye yönelik amansız çabaları, özellikle Hindistan'ın hassas Keşmir bölgesindeki bireyleri hedef almalarında devam eden tehdidin altını çiziyor" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği