Armor Piercer - вредоносная компания, направленная на государственных служащих и военнослужащих в Индии с помощью двух коммерческих и товарных семейств RAT, известных как NetwireRAT (он же NetwireRC) и WarzoneRAT (он же Ave Maria).
Armor Piercer
Armor Piercer распространяет вредоносные документы для доставки троянских программ удаленного доступа (RAT) и получения доступа к конфиденциальной информации государственных и оборонных ведомств.
Приманки, используемые в этой кампании, преимущественно связаны с оперативными документами, относящимися к "Kavach", приложению двухфакторной аутентификации (2FA), которое работает в Национальном центре информатики Индии (NIC) и используется государственными служащими для доступа к своей электронной почте. Для размещения вредоносной полезной нагрузки используются взломанные веб-сайты и поддельные домены - еще одна тактика, аналогичная Transparent Tribe.
Indicators of Compromise
IPv4
- 5.252.179.221
- 45.79.81.88
- 64.188.13.46
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Armor Piercer.
ID | Техника | CWE | Описание | Доверие |
1 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |
2 | T1068 | CWE-264, CWE-284 | Выполнение с избыточными привилегиями | Высокий |
3 | T1495 | CWE-494 | Загрузка кода без проверки целостности | Высокий |