Образовательный сектор становится мишенью кибератак с использованием Crimson RAT.
По данным компании SentinelOne , предположительно базирующаяся в Пакистане группировка Transparent Tribe (APT36, Operation C-Major, PROJECTM и Mythic Leopard) проводит кибератаки на сектор образования Индии с целью развертывания вредоносного ПО под названием Crimson RAT.
Вредоносная программа на основе .NET имеет следующие возможности:
В ходе кампании Transparent Tribe распространяет заражённые документы Microsoft Office, которые содержат образовательный контент и называются как «Задание» или «Задание №10». Документы используют вредоносный код макроса для запуска Crimson RAT. В других случаях группировка использовала технологии встраивания OLE (Object Linking and Embedding) для запуска вредоносного ПО.
Специалисты SentinelOne поясняют, что вредоносные документы, реализующие технику OLE, требуют от пользователя двойного щелчка по элементу документа, чтобы разблокировать контент.
Функция заставляет пользователей дважды щелкнуть по изображению для просмотра содержимого, тем самым активируя пакет OLE, который хранит и выполняет Crimson RAT, маскируясь под процесс обновления.
Также было замечено, что варианты Crimson RAT задерживают свое выполнение на определенный период времени – от 1 до 4 минут, а также реализуют различные методы обфускации с использованием инструментов Crypto Obfuscator и Eazfuscator.
Эта кампания, не единственная операция группы, нацеленная на Индию. Ранее Transparent Tribe была связана с продолжающейся кампанией кибершпионажа , нацеленной на индийских и пакистанских пользователей Android с помощью бэкдора под названием CapraRAT. По предварительным оценкам, жертвами стали около 150 человек. Вредоносное ПО можно было загрузить с поддельных фишинговых веб-сайтов, а само приложение по своему интерфейсу и названию определённо является своеобразной пародией на WhatsApp.
Наш канал — питательная среда для вашего интеллекта