Недавно исследователи FortiGuard Labs обнаружили подозрительный файл, связанный с индийской государственной военной организацией DRDO (Организация оборонных исследований и разработок) и разработкой баллистической ракеты K-4. Файл, названный "DRDO-K4-Missile-Clean-room.zip", использовался для распространения вредоносного программного обеспечения, которое соответствует тактикам, техникам и процедурам (TTP) APT-группы SideCopy. Эта группировка, действующая с 2019 года, предположительно связана с интересами правительства Пакистана и использует методы, схожие с другой известной пакистанской группой - Transparent Tribe.
Описание
SideCopy получила свое название из-за того, что копирует методы индийской хакерской группы SideWinder, что затрудняет атрибуцию атак. Хотя основная цель группировки - системы на базе Windows, есть свидетельства того, что она также атакует устройства под управлением macOS и Linux. В данном случае злоумышленники использовали фишинговое письмо с вложенным ZIP-архивом, содержащим вредоносный файл-ярлык (.lnk), замаскированный под презентацию PowerPoint.
При открытии файл "DRDO-K4 Missile Clean room.pptx.lnk" запускает скрипт, который загружает вредоносный HTA-файл "Pantomime.hta" с сервера злоумышленников. Этот файл проверяет версию .NET на компьютере жертвы и создает скрытую папку для хранения вредоносных компонентов. Далее загружается и исполняется дополнительная полезная нагрузка, созданная с помощью фреймворка SILENTTRINITY, который позволяет выполнять код .NET без использования PowerShell, что усложняет обнаружение.
Вредоносный код развертывает троян удаленного доступа (RAT), который маскируется под легитимные системные процессы. Например, файл "cridviz.exe" (искаженное название утилиты Windows "credwiz.exe") загружает вредоносную DLL "DUser.dll", которая затем устанавливает связь с командным сервером злоумышленников. RAT использует нестандартные HTTP-запросы и может запускать дополнительные процессы на зараженной машине.
Особенностью этой кампании является использование высокоспециализированной приманки, рассчитанной на ограниченный круг лиц, связанных с индийской оборонной промышленностью. Это указывает на тщательную подготовку атаки и ее целенаправленный характер. Учитывая геополитическую напряженность между Индией и Пакистаном, подобные кибератаки остаются серьезной угрозой для национальной безопасности.
Эксперты по кибербезопасности рекомендуют организациям, работающим в оборонной сфере, усилить защиту от фишинга, регулярно обновлять ПО и использовать решения для мониторинга подозрительной активности в сети. Особое внимание следует уделять файлам, поступающим из ненадежных источников, даже если они выглядят легитимными.
Индикаторы компрометации
Domains
- cornerstonebeverly.org
URLs
- http://144.91.72.17:8080/streamcmd?AV=Unknown&OS=6.1.7601.17932&Vesrion=1&detail=Wfstzepn_Admin
- http://144.91.72.17:8080/user_details
- http://cornerstonebeverly.org/js/files/docufentososo/doecumentosoneso/pantomime.hta
- http://cornerstonebeverly.org/js/files/ntfonts/jquery.txt
- https://cornerstonebeverly.org/js/files/ntfonts/avena/
SHA256
- 17eabfb88a164aa95731f198bd69a7285cc7f64acd7c289062cd3979a4a2f5bf
- 1c2399674713d2a3fc19b841e979eed61d73d1b7ca8fd6f29ba95a41f5a7684d
- 68ec4461653ae682eeace1bff583307ec521a3ee23873a991c031cc49dc8132f
- 85faf414ed0ba9c58b9e7d4dc7388ba5597598c93b701d367d8382717fb485ec
- 865e041b41b9c370a4eed91a9a407bd44a94e16e236e07be05e87de319a4486c
- 9aed0c5a047959ef38ec0555ccb647688c67557a6f8f60f691ab0ec096833cce
- a2e55cbd385971904abf619404be7ee8078ce9e3e46226d4d86d96ff31f6bb9a
- b9514ed1566c8ce46ab5bfd665f8b997f2d5624740f298699df43bb108e08c4d
- bf34077c8b22759b28dcc458dc1b7bba3810c1c30b050b26a26e8d9f64e77971
- c7753ffb7f66b0dfb05a24955324182cb92bbf41dd8fccb308c3f04d497a16da
- e88835e21c431d00a9b465d2e8bed746b6369892e33be10bc7ebbda6e8185819
- f0cc9b18ba32f95085d5f9a3539dc08832c19e7d3124a5febbdc3bae47deab24