Неизвестная ранее группа с запутанным происхождением нацелена на исследовательские организации в Азии.
Исследователи кибербезопасности из ИБ-компании Symantec сообщают , что организации по исследованию материалов в Азии стали мишенью ранее неизвестной группировки, отслеживаемой экспертами как Clasiopa.
Происхождение хакерской группы и ее принадлежность в настоящее время неизвестны, но есть намеки на то, что киберпреступники могут иметь связи с Индией. Такой вывод сделан, исходя из ссылок на «SAPTARISHI-ATHARVAN-101» (Saptarishi - провидец из индуистской литературы, Atharvan - священник, соавтор части религиозных писаний индусов) в бэкдоре и использование пароля «iloveindea1998^_^» для вредоносного ZIP-архива.
«Хотя эти детали могут свидетельствовать о том, что группа базируется в Индии, также вполне вероятно, что информация была подброшена как ложный флаг, а пароль, в частности, кажется слишком очевидной подсказкой», — говорится в отчете Symantec.
Также неясны точные средства начального доступа, хотя есть подозрения, что хакеры проводят брутфорс-атаки на серверы, подключенные к Интернету. Некоторые из ключевых признаков вторжений включают очистку системного монитора и журналов событий, а также развертывание нескольких бэкдоров, таких как Atharvan и модифицированная версия Lilith RAT с открытым исходным кодом, для кражи конфиденциальной информации.
Кроме того, Atharvan может связываться с жестко запрограммированным адресом сервера управления и контроля (C2, C&C) для извлечения и запуска произвольных исполняемых файлов на зараженном хосте. Адреса C&C-серверов относятся к Amazon AWS в Южной Корее, который не является обычным местом для С2-инфраструктуры.
Судя по используемым инструментам и тактике, основной мотив группы заключается в получении постоянного доступа к устройствам без обнаружения, а также в краже информации.