Исследователи раскрыли многолетнюю кампанию, организованную киберсилами Пакистана.
Связанные с Пакистаном хакеры участвуют в длительной вредоносной кампании под названием «Operation Celestial Force» («Операция Небесная Сила»), которая длится как минимум с 2018 года. По данным исследователей из Cisco Talos, в этой кампании используется вредоносное ПО GravityRAT для Android и загрузчик HeavyLift для Windows. Управление осуществляется с помощью отдельного инструмента GravityAdmin.
Киберэксперты отнесли эту вредоносную активность к группе Cosmic Leopard (также известной как SpaceCobra), которая демонстрирует тактическое сходство с Transparent Tribe.
«"Operation Celestial Force" активна с 2018 года и продолжает развиваться, используя всё более сложные и разнообразные вредоносные программы, что свидетельствует о высоком уровне успешности в атаке на пользователей на индийском субконтиненте», — отметили исследователи Асир Мальхотра и Витор Вентура в своём техническом отчёте.
GravityRAT впервые был обнаружен в 2018 году как вредоносное ПО для Windows, которое атаковало индийские организации через фишинговые письма. С тех пор вредоносное ПО было адаптировано для работы на Android и macOS, что сделало его многофункциональным инструментом.
В прошлом году Meta* и ESET сообщили о продолжении использования версии GravityRAT для Android, нацеленной на военных в Индии, а также сотрудников ВВС Пакистана, маскируя его под облачное хранилище, развлекательные и чат-приложения.
Для координации атак хакеры используют программу GravityAdmin. Они активно применяют фишинг и социальную инженерию, чтобы завоевать доверие потенциальных жертв, после чего отправляет им ссылку на вредоносный сайт с программой, устанавливающей GravityRAT или HeavyLift в зависимости от операционной системы.
GravityRAT находится в арсенале киберпреступников с 2016 года, а GravityAdmin — с августа 2021 года. Последний вредонос используется для управления заражёнными системами через C2-серверы хакеров.
GravityAdmin включает несколько встроенных пользовательских интерфейсов для различных кампаний, таких как «FOXTROT», «CLOUDINFINITY» и «CHATICO» для Android-устройств, а также «CRAFTWITHME», «SEXYBER» и «CVSCOUT» для атак с использованием HeavyLift.
HeavyLift — это новый софт, появившийся у хакеров совсем недавно. Он представляет из себя загрузчик на базе Electron, распространяемый через вредоносные установщики для Windows, и имеет некоторые сходства с версиями GravityRAT на базе Electron, описанными «Лабораторией Касперского» в 2020 году.
После запуска вредоносное ПО собирает и отправляет системные метаданные на C2-сервер и периодически запрашивает новые задачи для выполнения. Оно также может выполнять аналогичные функции на macOS.
«Эта многолетняя операция постоянно нацелена на индийские организации и лица, связанные с обороной, правительством и технологиями», — подчеркнули исследователи.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Наш канал — питательная среда для вашего интеллекта