В Индии наблюдается рост кибератак со стороны Advanced Persistent Threat (APT), связанных с Пакистаном. Команда Seqrite Labs APT обнаружила увеличение кампаний SideCopy, использующих RAT AllaKore, и Transparent Tribe (APT36), использующих RAT Crimson. Кроме того, появились новые spear-phishing кампании, такие как Operation RusticWeb и FlightNight. В первом квартале 2024 года также было зарегистрировано более 2900 разрушительных атак на индийские организации, проведенных хактивистскими группами.
SideCopy - это группировка APT, связанная с Пакистаном, которая уже несколько лет атакует индийские государственные структуры. У них в арсенале есть несколько RAT, включая AllaKore. Transparent Tribe (APT36) также таргетирует Индию и использует RAT Crimson. Атаки SideCopy осуществляются через spear-phishing с использованием архивных файлов, которые запускают процессы MSHTA и HTA для выполения вредоносной нагрузки. Наконец, AllaKore RAT выполняется на зараженных системах и подключается к C2-серверам.
AllaKore RAT имеет функциональность, включающую сбор информации о системе, загрузку и выполнение файлов, перехват клавиатуры и кражу данных буфера обмена. RAT также взаимодействует с C2-сервером для получения команд. Обнаружены различные варианты и версии RAT AllaKore, в том числе msmediaGPview, msvideolib и другие.
Кампания SideCopy использует две RAT AllaKore, которые работают вместе, дополняя друг друга. Обе полезные нагрузки имеют различные размеры и создают идентификаторы соединения на основе системной информации. Обнаружен сетевой трафик для портов 9828 и 6663, связанный с AllaKore RAT.
Таким образом, атаки APT со стороны SideCopy и Transparent Tribe на индийские государственные структуры набирают обороты, и RAT AllaKore играет значительную роль в этих кампаниях. Индия остается одной из наиболее подверженных стран киберугрозам, и необходимо принять соответствующие меры для защиты от таких атак.
Indicators of Compromise
IPv4
- 151.106.97.183
- 155.94.209.4
- 162.241.85.104
- 162.245.191.214
- 164.68.102.44
- 176.107.182.55
- 204.44.124.134
- 213.136.94.11
Domains
- juichangchi.online
- revivelife.in
- smokeworld.in
- vparking.online
URLs
- https://revivelife.in/assets/js/other/grant/
- https://revivelife.in/assets/js/other/grant/32476sdfsdafgsdcsd3476328.hta
- https://revivelife.in/assets/js/other/new/
- https://revivelife.in/assets/js/other/new/jfhdsjfh34frjkfs23432.hta
- https://revivelife.in/assets/js/support/c/index.php
- https://revivelife.in/assets/js/support/i/index.php
- https://smokeworld.in/wp-content/plugins/header-footer-other/content/index.php
- https://smokeworld.in/wp-content/plugins/header-footer-other/intro/index.php
- https://smokeworld.in/wp-content/plugins/header-footer-show/01/
- https://smokeworld.in/wp-content/plugins/header-footer-show/01/bjihfsdfhdjsh234234.hta
- https://vparking.online/BetaVersion/MyDesk/assets/fonts/account/show/4358437iufgdshvjy5843765.hta
- https://vparking.online/BetaVersion/MyDesk/assets/fonts/account/show/index.php
- https://vparking.online/BetaVersion/MyDesk/plugins/quill/support/content/index.php
- https://vparking.online/BetaVersion/MyDesk/plugins/quill/support/intro/
MD5
- 1d7fc8a9241de652e481776e99aa3d46
- 1e5285ee087c0d73c76fd5b0b7bc787c
- 26bde2d6a60bfc6ae472c0e9c8d976e2
- 29fa44d559b4661218669aa958851a59
- 2a47ea398397730681f121f13efd796f
- 2a680cf1e54f1a1f585496e14d34c7e9
- 303b75553c5df52af087b5b084d50f98
- 30796f8fb6a8ddc4432414be84b8a489
- 312923e0baf9796a846e5aad0a4d0fb6
- 37b10e4ac08534ec36a59be0009a63b4
- 3cc6602a1f8a65b5c5e855df711edeb0
- 48e1e695258a23742cd27586e262c55a
- 4ba7ca56d1a6082f0303f2041b0c1a45
- 6ab0466858eb6d71d830e7b2e86dab03
- 6cda3b5940a2a97c5e71efcd1dd1d2ca
- 6cdc79655e9866e31f6c901d0a05401d
- 71b285c8903bb38d16d97c1042cbeb92
- 760ff1f0496e78d37c77b2dc38bcbbe4
- 76ca50a71e014aa2d089fed1251bf6cd
- 7bb8f92770816f488f3a8f6fe25e71a7
- 7cdc81a0f5c5b2d341de040a92fdd23a
- 81b436873f678569c46918862576c3e0
- 8740d186877598297e714fdf3ab507e9
- 898df40a8f2a6702c0be059f513fab9d
- 9684bf8955b348540446df6b78813cdb
- 990bfd8bf27be13cca9fa1fa07a28350
- 9d337c728c92bdb227055e4757952338
- abeaa649bd3d8b9e04a3678b86d13b6b
- afb24ec01881b91c220fec8bb2f53291
- b3a5e819e3cf9834a6b33c606fc50289
- bb5b569b38affb12dfe2ea6d5925e501
- cadafc6a91fc4bba33230baed9a8a338
- d7b909f611e8f9f454786f9c257f26eb
- d907284734ea5bf3bd277e118b6c51f0
- da529e7b6056a055e3bbbace20740ee9
- dbf196ccb2fe4b6fb01f93a603056e55
- e291fffbcb4b873b76566d5345094567
- e3cf6985446cdeb2c523d2bc5f3b4a32
- ecc65e6074464706bb2463cb74f576f7
- eceb986d166526499f8f37fd3efd44db
- f436aa95838a92b560f4cd1e1c321fe7
- f74c59fd5b835bf7630fbf885d6a21aa
- fa5a94f04e684d30ebdc4bf829d9c604