Ядерная угроза в облаках: SloppyLemming атакует энергетический сектор

Специалисты в области веб-инфраструктуры и безопасности из компании Cloudflare выявили активность продвинутой группы хакеров, связанных с Индией, которую назвали SloppyLemming (также известна как Outrider Tiger и Fishing Elephant). Эта группировка использует сервисы облачных провайдеров для сбора данных учётных записей, распространения вредоносного ПО и управления атаками.

С конца 2022 года SloppyLemming регулярно применяет Cloudflare Workers для проведения кибершпионажа, направленного на Южную и Восточную Азию. Известно, что группа действует как минимум с июля 2021 года, ранее используя вредоносное ПО Ares RAT и WarHawk. Последнее связано с известной хакерской группировкой SideWinder, а Ares RAT — с угрозой SideCopy, которая, вероятно, имеет пакистанское происхождение.

Целями атак SloppyLemming становятся государственные учреждения, правоохранительные органы, энергетические и технологические компании, а также образовательные и телекоммуникационные организации в Пакистане, Шри-Ланке, Бангладеш, Китае, Непале и Индонезии. Основной метод атак — фишинговые письма, побуждающие жертв нажать на вредоносную ссылку якобы для выполнения обязательного действия в течение 24 часов.

Переход по ссылке приводит к странице, предназначенной для кражи учётных данных, после чего злоумышленники получают несанкционированный доступ к корпоративной электронной почте. Для реализации этой атаки SloppyLemming использует инструмент CloudPhish, который создаёт вредоносные Cloudflare Workers и перехватывает данные учётных записей.

Также зафиксированы случаи, когда хакеры использовали уязвимость в WinRAR ( CVE-2023-38831 ) для удалённого выполнения кода, отправляя заражённые RAR-архивы, маскирующиеся под файлы из приложения для сканирования CamScanner. Внутри архива находится исполняемый файл, загружающий троян с Dropbox.

Ранее, в аналогичной кампании SideCopy, хакеры распространяли Ares RAT с использованием ZIP-архивов под названием «DocScanner_AUG_2023.zip» и «DocScanner-Oct.zip». Целью атаки тогда были индийские государственные и оборонные ведомства.

Третий метод заражения от SloppyLemming предполагает перенаправление жертв на поддельный сайт, имитирующий официальный ресурс Совета информационных технологий Пенджаба в Пакистане. После этого пользователей перенаправляют на другой сайт, где они скачивают вредоносный ярлык, ведущий к исполняемому файлу «PITB-JR5124.exe». Этот файл запускает загрузку вредоносной DLL-библиотеки, которая связывается с Cloudflare Workers для передачи данных злоумышленникам.

По информации Cloudflare, хакеры из SloppyLemming активно атакуют полицию и другие правоохранительные структуры Пакистана, а также организации, связанные с эксплуатацией единственной в стране ядерной электростанции. Кроме того, среди целей группы — военные и правительственные учреждения Шри-Ланки и Бангладеш, а также китайские компании энергетического и образовательного секторов.