Se ha observado que un actor de amenaza con lazos con Pakistán dirige a varios sectores en la India con varios troyanos de ataque remoto como Xeno Rat, Spark Rat y una clan de malware previamente indocumentada llamamiento Rata rizada.
La actividad, detectada por Seqrite en diciembre de 2024, dirigió a las entidades indias bajo los ministerios de ferrocarril, petróleo y gas, y asuntos externos, que marcan una expansión de la huella de la tripulación de piratería más allá del gobierno, la defensa, los sectores marítimos y las universidades.
“Un cambio sobresaliente en las campañas recientes es la transición del uso de archivos de aplicación HTML (HTA) a la acogida de los paquetes de Microsoft Installer (MSI) como un mecanismo primario de puesta en imagen”, dijo el investigador de seguridad Sathwik Ram Prakki.
Se sospecha que Sidecopy es un subgrupo en el interior de la tribu transparente (todavía conocida como APT36) que está activa desde al menos 2019. Se pasión así por imitar las cadenas de ataque asociadas con otro actor de amenaza llamado Sidewinder para entregar sus propias cargas avíos.
En junio de 2024, SeqRite destacó el uso de archivos HTA ofuscados por parte de Sidecopy, aprovechando técnicas previamente observadas en ataques Sidewinder. Además se encontró que los archivos contenían referencias a URL que alojaban archivos RTF identificados como utilizados por SideWinder.
Los ataques culminaron en el despliegue de Action Rat y Reverserat, dos familias de malware conocidas atribuidas a Sidecopy, y varias otras cargas avíos, incluida Cheex para robar documentos e imágenes, una copiadora USB para desviar los datos de las unidades adjuntas y una rata Geta basada en .NET que es capaz de ejecutar 30 comandos enviados desde un servidor remoto.
La rata está equipada para robar los datos del navegador de Firefox y Chromium de todas las cuentas, perfiles y cookies, una característica prestada de Asyncrat.
“El enfoque APT36 es principalmente sistemas Linux, mientras que Sidecopy se dirige a los sistemas de Windows que agregan nuevas cargas avíos a su cúmulo”, señaló Seqrite en ese momento.
Los últimos hallazgos demuestran una maduración continua del clase de piratería, que entran en sí mismos, al tiempo que aprovecha el phishing basado en el correo electrónico como un vector de distribución para malware. Estos mensajes de correo electrónico contienen varios tipos de documentos de señuelos, que van desde listas de ocio para el personal ferroviario hasta las pautas de seguridad cibernética emitidas por una empresa del sector sabido llamamiento Hindustan Petroleum Corporation Limited (HPCL).
Un clúster de actividad es particularmente sobresaliente dada su capacidad para dirigirse a los sistemas Windows y Linux, que en última instancia, lo que lleva a la implementación de un troyano de ataque remoto de plataforma cruzada conocida como Spark RAT y una nueva rata de malware con nombre de malware basado en Windows que puede compilar información del sistema, descargar archivos del host, ejecutar comandos arbitrarios, privilegios elevados y listas de cuentas de usuarios de usuarios.
Se ha observado un segundo clúster utilizando los archivos de señuelo como una forma de iniciar un proceso de infección de varios pasos que deja caer una lectura personalizada de Xeno Rat, que incorpora métodos básicos de manipulación de cadenas.
“El clase ha cambiado de usar archivos HTA a paquetes MSI como un mecanismo de puesta en preparación primaria y continúa empleando técnicas avanzadas como la carga contiguo de DLL, la carga reflectante y el descifrado de AES a través de PowerShell”, dijo la compañía.
“Por otra parte, están aprovechando herramientas personalizadas de código campechano como Xeno Rat y Spark Rat, unido con el despliegue de la rata rizada recientemente identificada. Los dominios comprometidos y los sitios falsos se están utilizando para el alojamiento de phishing y carga útil de credenciales, destacando los esfuerzos continuos del clase para mejorar la persistencia y sortear la detección”.
