«Операция небесная сила»: лапы Cosmic Leopard разрывают критическую инфраструктуру Индии

«Операция небесная сила»: лапы Cosmic Leopard разрывают критическую инфраструктуру Индии

Исследователи раскрыли многолетнюю кампанию, организованную киберсилами Пакистана.

image

Связанные с Пакистаном хакеры участвуют в длительной вредоносной кампании под названием «Operation Celestial Force» («Операция Небесная Сила»), которая длится как минимум с 2018 года. По данным исследователей из Cisco Talos, в этой кампании используется вредоносное ПО GravityRAT для Android и загрузчик HeavyLift для Windows. Управление осуществляется с помощью отдельного инструмента GravityAdmin.

Киберэксперты отнесли эту вредоносную активность к группе Cosmic Leopard (также известной как SpaceCobra), которая демонстрирует тактическое сходство с Transparent Tribe.

«"Operation Celestial Force" активна с 2018 года и продолжает развиваться, используя всё более сложные и разнообразные вредоносные программы, что свидетельствует о высоком уровне успешности в атаке на пользователей на индийском субконтиненте», — отметили исследователи Асир Мальхотра и Витор Вентура в своём техническом отчёте.

GravityRAT впервые был обнаружен в 2018 году как вредоносное ПО для Windows, которое атаковало индийские организации через фишинговые письма. С тех пор вредоносное ПО было адаптировано для работы на Android и macOS, что сделало его многофункциональным инструментом.

В прошлом году Meta* и ESET сообщили о продолжении использования версии GravityRAT для Android, нацеленной на военных в Индии, а также сотрудников ВВС Пакистана, маскируя его под облачное хранилище, развлекательные и чат-приложения.

Для координации атак хакеры используют программу GravityAdmin. Они активно применяют фишинг и социальную инженерию, чтобы завоевать доверие потенциальных жертв, после чего отправляет им ссылку на вредоносный сайт с программой, устанавливающей GravityRAT или HeavyLift в зависимости от операционной системы.

GravityRAT находится в арсенале киберпреступников с 2016 года, а GravityAdmin — с августа 2021 года. Последний вредонос используется для управления заражёнными системами через C2-серверы хакеров.

GravityAdmin включает несколько встроенных пользовательских интерфейсов для различных кампаний, таких как «FOXTROT», «CLOUDINFINITY» и «CHATICO» для Android-устройств, а также «CRAFTWITHME», «SEXYBER» и «CVSCOUT» для атак с использованием HeavyLift.

HeavyLift — это новый софт, появившийся у хакеров совсем недавно. Он представляет из себя загрузчик на базе Electron, распространяемый через вредоносные установщики для Windows, и имеет некоторые сходства с версиями GravityRAT на базе Electron, описанными «Лабораторией Касперского» в 2020 году.

После запуска вредоносное ПО собирает и отправляет системные метаданные на C2-сервер и периодически запрашивает новые задачи для выполнения. Оно также может выполнять аналогичные функции на macOS.

«Эта многолетняя операция постоянно нацелена на индийские организации и лица, связанные с обороной, правительством и технологиями», — подчеркнули исследователи.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!