SideCopy маскируется под презентацию о ракете К-4 - Индийская оборона под угрозой

SideCopy маскируется под презентацию о ракете К-4 - Индийская оборона под угрозой

Как Пакистан использует исследования министерства обороны Индии, экспертам ещё предстоит узнать.

image
APT-группа SideCopy проводит новую фишинговую кампанию, в ходе которой распространяет бэкдор Action RAT. Об этом сообщили специалисты компании Cyble в своём отчёте.

Кампания нацелена на организации оборонных исследований и разработок (DRDO), научно-исследовательского подразделения Министерства обороны Индии. Цепочка атак начинается с целевых фишинговых писем с вложением в виде ZIP-архива, который содержит LNK-файл, выдающий себя за презентацию о баллистической ракете К-4, разработанной DRDO.

Поддельная презентация

Выполнение LNK-файла приводит к извлечению HTML-приложения с удаленного сервера, который, в свою очередь, отображает поддельную презентацию, а также скрытно развертывает бэкдор Action RAT.

Цепочка атак SideCopy

Вредоносное ПО способно выполнять команды, отправленные с сервера управления и контроля (C2, C&C), которые включают:

  • сбор информации о машине-жертве;
  • сбор файлов с устройства;
  • доставку других вредоносных программ.

В ходе кампаний также был развернут новый инфостилер под названием Auto Stealer, который через HTTP или TCP собирает и извлекает файлы Microsoft Office, PDF-документов, баз данных, текстовых файлов и изображений.

SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe . Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!