Раскрыта кампания по кибершпионажу против индийской армии

Исследователи кибербезопасности из индийской фирмы Quick Heal обнаружили текущую кампанию по кибершпионажу, направленную против подразделений обороны и личного состава вооруженных сил Индии. Кампания продолжается по крайней мере с 2019 года, а целью киберпреступников является хищение конфиденциальной информации военных.

Вредоносная кампания, получившая название SideCopy, была организована киберпреступной группировкой, которая успешно остается незамеченной, «копируя» тактику других злоумышленников.

Атаки начинаются с отправки электронного письма со встроенным вредоносным вложением — либо ZIP-файл, содержащий LNK-файл, либо документ Microsoft Word. Помимо выявления трех различных цепочек заражения, примечателен тот факт, что одна из них использовала внедрение шаблона и критическую уязвимость редактора Microsoft Equation Editor ( CVE-2017-11882 ) 20-летней давности . Ее эксплуатация позволяет злоумышленникам выполнить удаленный код на системе без вмешательства пользователя.

По словам исследователей, в документе Word якобы утверждается, что он посвящен теме политики оборонного производства правительства Индии. Более того, LNK-файлы имеют двойное расширение («Defense-Production-Policy-2020.docx.lnk») и содержат значки документов, тем самым вводя жертву в заблуждение и побуждая ее открыть файл.

После открытия LNK-файлы используют mshta.exe для выполнения вредоносных Microsoft HTML Applications (HTA). Файлы HTA содержат поддельный документ и вредоносный модуль .NET, который выполняет указанный документ и загружает файл HTA второго этапа. Последний, в свою очередь, проверяет наличие популярных антивирусных решений перед хищением учетных данных Microsoft.

После запуска файла также загружается вредоносная библиотека DUser.dll и RAT-модуль winms.exe. DUser.dll будет инициировать соединение через специальный IP-адрес через TCP-порт 6102.

«После успешного подключения злоумышленники смогут отправлять команды с C&C-сервера для выполнения различных операций. Например, если C&C-сервер отправит 0, то на системе жертве начнется сбор информации о технических данных компьютера, имени пользователя, версии ОС и пр.», — пояснили эксперты.

Хотя методы именования DLL-файлов имеют общие черты с группировкой SideWinder, использование набора инструментов с открытым исходным кодом и совершенно другая инфраструктура C&C-сервера привели исследователей к выводу, что злоумышленники имеют пакистанское происхождение и являются участниками группировки Transparent Tribe, которая ранее организовала несколько атак на индийских военных и правительственный персонал.