Связанная с Пакистаном хакерская группа SideCopy APT продемонстрировала значительную эволюцию в своих методах проведения атак с конца декабря 2024 года. Ранее сосредоточившись на таких секторах, как правительство Индии, оборона и образование, группа расширила сферу своей деятельности, включив в себя важнейшие сектора инфраструктуры, такие как железные дороги, нефть и газ, а также внешние связи.
Новый подход к атакам
Ключевое изменение в тактике SideCopy связано с переходом от файлов HTML-приложений (HTA) к использованию пакетов Microsoft Installer (MSI) в качестве основного механизма развертывания своего вредоносного ПО. Этот сдвиг подчеркивает постоянные усилия группы по предотвращению обнаружения с использованием передовых методов, таких как:
- боковая загрузка DLL,
- отражающая загрузка.
Новые вредоносные разработки
В число новых вредоносных программ, выявленных в ходе недавних кампаний, входит CurlBack RAT, которая использует методы сторонней загрузки библиотек DLL и регистрирует жертв на сервере управления (C2). Эта вредоносная программа:
- собирает системную информацию,
- управляет сохранением данных через создание разделов реестра,
- использует cURL для связи и передачи файлов.
Такой многогранный подход позволяет осуществлять фильтрацию данных и удалённый доступ к системам.
Фишинг как ключевой метод
Фишинг остается основным направлением деятельности SideCopy. Недавние фишинговые кампании включали тщательно подготовленные электронные письма, якобы от надежных правительственных источников. Эти письма заманивали жертв с помощью вложений, которые казались законными, в итоге приводя к активации вредоносного ПО. Например, использовались имена файлов, имитирующие документы, относящиеся к Национальному колледжу обороны, и расписания отпусков для железнодорожного персонала.
В цепочках эксплойтов часто задействовались файлы с двойным расширением, предназначенные для обмана пользователей. Эти файлы содержали вредоносные скрипты, которые запускались при открытии.
Тактическая изощренность и безопасность операций
Хакеры использовали скомпрометированные домены, включая поддельный каталог служб электронного управления, для размещения вредоносных программ и фишинговых страниц с учетными данными. Это подтверждает их зависимость от тактики социальной инженерии. Домены, используемые в таких кампаниях, в основном регистрируются через авторитетные сервисы, например, GoDaddy, и часто связаны с инфраструктурой Cloudflare, что демонстрирует стратегическую изощренность их методов безопасности и обфускации.
Кросс-платформенные возможности
Кроме того, способность SideCopy работать как с системами Windows, так и с Linux демонстрирует их универсальность и стремление скомпрометировать широкий спектр сред. Использование полезных приложений на базе Golang, таких как Spark RAT для Linux-систем, указывает на целенаправленный переход к кросс-платформенным возможностям, что значительно расширяет область их применения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SideCopy APT: эволюция атак на критическую инфраструктуру".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.