Cyble Research and Intelligence Labs (CRIL) выполнил расследование операции под названием Operation ShadowCat, проводимой предположительно русскоязычной группой, которая использует индийские политические документы в качестве приманки для распространения вредоносного программного обеспечения (RAT) на базе Go.
ShadowCat Operation
В ходе расследования было выявлено, что атака начинается с маскировки вредоносного файла-ярлыка (.LNK) под легитимный документ Office. Когда пользователь запускает этот файл, происходит процесс заражения, который выполняет команду PowerShell для сброса и выполнения загрузчика .NET. Загрузчик .NET в конечном итоге доставляет конечную полезную нагрузку на компьютер жертвы. Злоумышленники также используют стеганографию для сокрытия вредоносной полезной нагрузки в PNG-файле, который размещается на сервере доставки контента (CDN) и распаковывается внутри процесса PowerShell.exe.
Основной целью атаки являются пользователи, интересующиеся политическими делами в Индии, такие как правительственные чиновники, политические аналитики, журналисты, исследователи и аналитические центры, следящие за парламентскими заседаниями. Исследователи также отметили, что атаки избегаются в русскоязычных регионах, что указывает на то, что злоумышленники, возможно, русскоязычные.
Атака начинается с открывания вредоносного LNK-файла, за которым следует выполнение скрипта PowerShell, разделенного на четыре секции: предотвращение выполнения на основе геолокации, деобфускация строк, самоудаление LNK-файла и создание вредоносного DLL-файла. Скрипт предназначен для предотвращения выполнения в определенных странах и для обхода механизмов безопасности.
Конечной полезной нагрузкой является вредоносный программный код RAT, написанный на языке программирования Go. Этот RAT обеспечивает злоумышленникам полный контроль над зараженной системой и позволяет им выполнять различные действия, включая манипулирование файлами и каталогами, выполнение команд и взаимодействие с командно-контрольным сервером. RAT может использоваться для вымогательских атак, развертывания других вредоносных программ, сбора информации о системе, сканирования сети и кражи конфиденциальных данных.
Cyble Research & Intelligence Labs выделил данную атаку и назвал ее "Operation ShadowCat" из-за ее скрытных характеристик и использования специального подпротокола "NetCat" для связи с C&C-сервером.
Indicators of Compromise
Domains
- suquaituupie.global.ssl.fastly.net
- use1.netcatgroup.site
URLs
- https://suquaituupie.global.ssl.fastly.net/static/x86.png?u=
- https://suquaituupie.global.ssl.fastly.net/static/x86_64.png?u=
SHA256
- 168182578da46de165d10e6753d1c7db7b214efc723c89c6d9d0038264abad54
- 6f4dc0d9fe5970586403865d551bbea13e2ceb1bfe41f22e235a6456a5ec509b
- 83d6e377a5527f41d8333f8eb0d42f7c6a24f8694ed3caceb3a1e63de7b23e9d
- 8edc8f3eed761694c6b1df740de376f9e12f82675df7507417adb2c8bbedd8da
- ac957c501867a86c13045fa72d53faacb291cc8b6b2750915abc1b5815b164c6
- aef4d36ce252a9181767f263b1cbd831ac79f6e80516aa640222f9c56b06de4f
- c42ea4d3c8b6ae2c4727a11de65f624a70dabba46c1996aa545de35a58804802
- ffe5b09cbc0073be33332436150c81edfa952d2af749160699fc8b10b912ef35