Аналитики компании Cisco Talos обнаружили продолжающуюся кампанию по созданию вредоносного ПО под названием Операция " Celestial Force", активную с 2018 года.
В этой кампании используется вредоносная программа GravityRAT для Android и загрузчик для Windows под названием "HeavyLift". Управление этими заражениями осуществляется с помощью инструмента под названием "GravityAdmin", который может обрабатывать несколько кампаний одновременно. Talos приписывает эту кампанию пакистанской группе угроз, которую они называют "Космический леопард" и которая занимается шпионажем против индийских организаций, особенно в оборонном и правительственном секторах.
Для получения доступа к своим целям кампания использует два вектора заражения - социальную инженерию и spear phishing. Копьевой фишинг Копьевой фишинг состоит из сообщений, отправляемых целям с соответствующими формулировками и малдоками, содержащими вредоносное ПО, такое как GravityRAT.
Другой вектор заражения, набирающий популярность в этой операции и ставший основной тактикой операций Cosmic Leopard, состоит в том, чтобы связаться с целью через каналы социальных сетей, установить с ней доверительные отношения и в итоге отправить ей вредоносную ссылку для загрузки либо GravityRAT для Windows или Android, либо загрузчика HeavyLift для Windows.
Изначально GravityRAT был обнаружен в 2018 году и использовался для атак на системы Windows. К 2019 году он распространился на устройства под управлением Android. HeavyLift, появившийся примерно в то же время, представляет собой загрузчик, используемый для развертывания других вредоносных программ с помощью социальной инженерии. Компания Talos сообщает о росте использования мобильных вредоносных программ для шпионажа в последние годы.
"GravityAdmin" контролирует зараженные устройства через различные панели, предназначенные для конкретных кампаний. Эти кампании, такие как "SIERRA", "QUEBEC" и "FOXTROT", характеризуются использованием вредоносных программ как для Windows, так и для Android. Cosmic Leopard использует такие тактики, как фишинг и социальная инженерия, часто связываясь с объектами через социальные сети для распространения вредоносного ПО.
Indicators of Compromise
Domains
- androidadbserver.com
- androidmetricsasia.com
- androidsdkstream.com
- androidwebkit.com
- cloudieapp.net
- craftwithme.uk
- cvscout.uk
- dl01.mozillasecurity.com
- javacdnlib.com
- jdklibraries.com
- officelibraries.com
- playstoreapi.net
- rockamore.co.uk
- sdklibraries.com
- sexyber.net
- teraspace.co.in
- webbucket.co.uk
- windowsupdatecloud.com
- zclouddrive.com
SHA256
- 04e216f4780b6292ccc836fa0481607c62abb244f6a2eedc21c4a822bcf6d79f
- 06b617aa8c38f916de8553ff6f572dcaa96e5c8941063c55b6c424289038c3a1
- 12d98137cd1b0cf59ce2fafbfe3a9c3477a42dae840909adad5d4d9f05dd8ede
- 1382997d3a5bb9bdbb9d41bb84c916784591c7cdae68305c3177f327d8a63b71
- 36851d1da9b2f35da92d70d4c88ea1675f1059d68fafd3abb1099e075512b45e
- 380df073825aca1e2fdbea379431c2f4571a8c7d9369e207a31d2479fbc7be88
- 4ebdfa738ef74945f6165e337050889dfa0aad61115b738672bbeda648a59dab
- 5695c1e5e4b381844a36d8281126eef73a9641a315f3fdd2eb475c9073c5f4da
- 63a76ca25a5e1e1cf6f0ca8d32ce14980736195e4e2990682b3294b125d241cf
- 688c8e4522061bb9d82e4c3584f7ef8afc6f9e07e2374567755faad2a22e25b8
- 69414a0ca1de6b2ab7b504a507d35c859fc5a1b8e0b3cf0c6a8948b2f652cbe9
- 838fd5d269fa09ef4f7e9f586b6577a9f46123a0af551de02de78501d916236d
- 8d458fb59b6da20e1ba1658bb4a1f7dbb46d894530878e91b64d3c675d3d4516
- 8e9bcc00fc32ddc612bdc0f1465fc79b40fc9e2df1003d452885e7e10feab1ee
- c00cedd6579e01187cd256736b8a506c168c6770776475e8327631df2181fae2
- ceb7b757b89693373ffa1c46dd96544bdc25d1a47608c2ea24578294bcf1db37
- da3907cf75662c3401581a5140831f8b2520a4c3645257b3860c7db94295af88