SideCopy, пакистанская группа угроз, атаковала индийские правительственные организации, используя фишингового письма, содержащего документ Word с макросом. Если получатель открывает документ и включает макросы, это приводит к выполнению вредоносного кода, что позволяет SideCopy получить первоначальный доступ.
SideCopy получить первоначальный доступ. Используемое вредоносное ПО представляет собой новую версию ReverseRAT, в которой имеет улучшенную обфускацию и "спящие" вызовы, чтобы избежать обнаружения.
Как только ReverseRAT обретает устойчивость, он перечисляет устройство жертвы, собирает данные, шифрует их с помощью RC4 и отправляет на командно-контрольный сервер (C2). Он ожидает выполнения команд на целевом компьютере, и некоторые из его функций включают в себя снятие скриншоты, загрузку и выполнение файлов, а также загрузку файлов на сервер C2.
Indicators of Compromise
URls
- http://185.174.102.54:443/
- http://luckyoilpk.com/vlan.html
SHA256
- 8b87459483248d7b95424cd52b7d4f3031e89c6644adc2e167556e071d9ec3aa
- b277a824b2671f40298ce03586a2ccc0fca2a081a66230c57a3060c2028f13ee