Раскрыта кампания по кибершпионажу против индийской армии

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

29 сентября 2020 года

Исследователи кибербезопасности из индийской фирмы Quick Heal обнаружили текущую кампанию по кибершпионажу, направленную против подразделений обороны и личного состава вооруженных сил Индии. Кампания продолжается по крайней мере с 2019 года, а целью киберпреступников является хищение конфиденциальной информации военных.

Вредоносная кампания, получившая название SideCopy, была организована киберпреступной группировкой, которая успешно остается незамеченной, «копируя» тактику других злоумышленников.

Атаки начинаются с отправки электронного письма со встроенным вредоносным вложением — либо ZIP-файл, содержащий LNK-файл, либо документ Microsoft Word. Помимо выявления трех различных цепочек заражения, примечателен тот факт, что одна из них использовала внедрение шаблона и критическую уязвимость редактора Microsoft Equation Editor ( CVE-2017-11882 ) 20-летней давности. Ее эксплуатация позволяет злоумышленникам выполнить удаленный код на системе без вмешательства пользователя.

По словам исследователей, в документе Word якобы утверждается, что он посвящен теме политики оборонного производства правительства Индии. Более того, LNK-файлы имеют двойное расширение («Defense-Production-Policy-2020.docx.lnk») и содержат значки документов, тем самым вводя жертву в заблуждение и побуждая ее открыть файл.

После открытия LNK-файлы используют mshta.exe для выполнения вредоносных Microsoft HTML Applications (HTA). Файлы HTA содержат поддельный документ и вредоносный модуль.NET, который выполняет указанный документ и загружает файл HTA второго этапа. Последний, в свою очередь, проверяет наличие популярных антивирусных решений перед хищением учетных данных Microsoft.

После запуска файла также загружается вредоносная библиотека DUser.dll и RAT-модуль winms.exe. DUser.dll будет инициировать соединение через специальный IP-адрес через TCP-порт 6102.

«После успешного подключения злоумышленники смогут отправлять команды с C&C-сервера для выполнения различных операций. Например, если C&C-сервер отправит 0, то на системе жертве начнется сбор информации о технических данных компьютера, имени пользователя, версии ОС и пр.», — пояснили эксперты.

Хотя методы именования DLL-файлов имеют общие черты с группировкой SideWinder, использование набора инструментов с открытым исходным кодом и совершенно другая инфраструктура C&C-сервера привели исследователей к выводу, что злоумышленники имеют пакистанское происхождение и являются участниками группировки Transparent Tribe, которая ранее организовала несколько атак на индийских военных и правительственный персонал.

Источники[править]

Эта статья содержит материалы из статьи «Раскрыта кампания по кибершпионажу против индийской армии», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Раскрыта_кампания_по_кибершпионажу_против_индийской_армии&oldid=8527302