Operation RusticWeb: пакистанский бэкдор шпионит за госслужащими Индии

Индийские госструктуры и оборонная отрасль стали целью хакерской атаки, использующей фишинг и вредоносное ПО на основе Rust для разведки. Кампания, обнаруженная в октябре 2023 года и получившая название Operation RusticWeb, была выявлена ИБ-компанией SEQRITE.

Согласно отчёту SEQRITE, для кражи конфиденциальных документов были задействованы новые полезные нагрузки на основе Rust и зашифрованные команды PowerShell. Они передают собранную информацию не на традиционный сервер управления и контроля (Command and Control, C2), а на веб-сервис.

Анализ показал тактические связи между обнаруженной кампанией и деятельностью групп Transparent Tribe и SideCopy, предположительно связанных с Пакистаном. По данным SEQRITE, SideCopy, возможно, подчиняется Transparent Tribe. В последней кампании группировки против индийских госорганов использовались трояны AllaKore RAT, Ares RAT и DRat.

ThreatMon отметил, что недавние атаки включали использование поддельных файлов PowerPoint и специально подготовленных архивов RAR, уязвимых к CVE-2023-38831 , что позволяло злоумышленникам получить полный удаленный доступ и контроль над устройством.

Цепочка заражения SideCopy APT Group включает в себя несколько этапов, каждый из которых тщательно организован для обеспечения успешного взлома. Последний набор атак начинается с фишингового электронного письма, в котором используются методы социальной инженерии, чтобы обманом заставить жертв взаимодействовать с вредоносным PDF-файлом, который доставляет полезные данные на основе Rust для сканирования файловой системы, в то время как жертвам показывается поддельный документ.

Вирус собирает файлы и информацию о системе, отправляя их на C2-сервер. Однако, по словам экспертов, вредоносное ПО не имеет функционала более продвинутых вредоносных программ, доступных на киберпреступном рынке.

Другая цепочка заражения, обнаруженная SEQRITE в декабре, также многоступенчатая, но в ней Rust-вирус заменен на скрипт PowerShell. В конце цепочки заражения используется исполняемый файл Rust под названием «Cisco AnyConnect Web Helper». Собранные данные отправляются на домен «oshi[.]at», публичный файловый сервис OshiUpload .