Раскрыта кампания по кибершпионажу против индийской армии
29 сентября 2020 года
Исследователи кибербезопасности из индийской фирмы Quick Heal обнаружили текущую кампанию по кибершпионажу, направленную против подразделений обороны и личного состава вооруженных сил Индии. Кампания продолжается по крайней мере с 2019 года, а целью киберпреступников является хищение конфиденциальной информации военных.
Вредоносная кампания, получившая название SideCopy, была организована киберпреступной группировкой, которая успешно остается незамеченной, «копируя» тактику других злоумышленников.
Атаки начинаются с отправки электронного письма со встроенным вредоносным вложением — либо ZIP-файл, содержащий LNK-файл, либо документ Microsoft Word. Помимо выявления трех различных цепочек заражения, примечателен тот факт, что одна из них использовала внедрение шаблона и критическую уязвимость редактора Microsoft Equation Editor ( CVE-2017-11882 ) 20-летней давности. Ее эксплуатация позволяет злоумышленникам выполнить удаленный код на системе без вмешательства пользователя.
По словам исследователей, в документе Word якобы утверждается, что он посвящен теме политики оборонного производства правительства Индии. Более того, LNK-файлы имеют двойное расширение («Defense-Production-Policy-2020.docx.lnk») и содержат значки документов, тем самым вводя жертву в заблуждение и побуждая ее открыть файл.
После открытия LNK-файлы используют mshta.exe для выполнения вредоносных Microsoft HTML Applications (HTA). Файлы HTA содержат поддельный документ и вредоносный модуль.NET, который выполняет указанный документ и загружает файл HTA второго этапа. Последний, в свою очередь, проверяет наличие популярных антивирусных решений перед хищением учетных данных Microsoft.
После запуска файла также загружается вредоносная библиотека DUser.dll и RAT-модуль winms.exe. DUser.dll будет инициировать соединение через специальный IP-адрес через TCP-порт 6102.
«После успешного подключения злоумышленники смогут отправлять команды с C&C-сервера для выполнения различных операций. Например, если C&C-сервер отправит 0, то на системе жертве начнется сбор информации о технических данных компьютера, имени пользователя, версии ОС и пр.», — пояснили эксперты.
Хотя методы именования DLL-файлов имеют общие черты с группировкой SideWinder, использование набора инструментов с открытым исходным кодом и совершенно другая инфраструктура C&C-сервера привели исследователей к выводу, что злоумышленники имеют пакистанское происхождение и являются участниками группировки Transparent Tribe, которая ранее организовала несколько атак на индийских военных и правительственный персонал.
Источники[править]
Эта статья содержит материалы из статьи «Раскрыта кампания по кибершпионажу против индийской армии», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.