2FA от такого не спасет: киберпреступники атакуют индийских чиновников

2FA от такого не спасет: киберпреступники атакуют индийских чиновников

Целью хакеров стало приложение Kavach, используемое для двухфакторной аутентификации.

image

Исследователи из Securonix окрестили эту фишинговую кампанию STEPPY#KAVACH, приписав ее хакерской группировке SideCopy, так как подобные тактики и методы использовались только этими киберпреступниками в ходе предыдущих атак.

SideCopy – это предположительно пакистанская хакерская группировка, действующая с 2019. Известно, что она иногда пытается выдавать свои атаки за атаки SideWinder.

Последний сценарий атак, описанный Securonix, предполагает использование фишинговых писем, чтобы потенциальная жертва открыла LNK-файл для выполнения полезной нагрузки в формате HTA с помощью утилиты mshta.exe. По словам специалистов, HTML-приложение было обнаружено на взломанном сайте, вложенном в каталог gallery, который предназначен для хранения изображений на сайте.

Взломанный сайт – incometaxdelhi[.]org, официальный сайт Департамента подоходного налога Дели.

На следующем этапе запуск HTA-файла приводит к выполнению обфусцированного JavaScript-кода, который создает обманку – изображение, содержащее объявление Министерства обороны Индии, сделанное год назад, в декабре 2021 года. Затем JS-код загружает исполняемый файл с удаленного сервера, закрепляется в системе с помощью изменений в реестре Windows и перезагружает компьютер, чтобы автоматически запустить двоичный файл после запуска.

Этот файл функционирует как бэкдор и позволяет хакеру выполнять команды с контролируемого злоумышленниками домена, получать и запускать дополнительные полезные нагрузки, делать скриншоты и похищать файлы.

Кроме того, бэкдор дает злоумышленнику возможность поиск файлов базы данных (kavach.db), созданного приложением Kavach в системе для хранения учетных данных.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!