SideCopy-Hacker zielen mit neuer Malware auf indische Regierungsbeamte

  • Eine Cyberspionage-Gruppe wurde dabei beobachtet, wie sie im Rahmen einer breit angelegten Kampagne zunehmend Mitarbeiter der indischen Regierung ins Visier nahm, um ihre Opfer mit bis zu vier neuen benutzerdefinierten Remote-Access-Trojanern (RATs) zu infizieren, was auf einen “Entwicklungsschub” hindeutet.

    Die Eindringlinge, die einer Gruppe namens SideCopy zugeschrieben werden, gipfeln in der Bereitstellung einer Vielzahl von modularen Plugins, die von Datei-Enumeratoren bis hin zu Browser-Anmeldedaten-Stehlern und Keyloggern (Xeytan und Lavao) reichen, so Cisco Talos in einem am Mittwoch veröffentlichten Bericht.

    “Die in den SideCopy-Kampagnen beobachteten Angriffstaktiken und -themen weisen einen hohen Grad an Ähnlichkeit mit der Transparent Tribe APT (aka APT36) auf, die ebenfalls auf Indien abzielt”, so die Forscher Asheer Malhotra und Justin Thattil. “Dazu gehören die Verwendung von Lockvögeln, die sich als operative Dokumente des Militärs und von Think Tanks ausgeben, sowie auf Honigfallen basierende Infektionen.”

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    SideCopy wurde erstmals im September 2020 von der indischen Cybersecurity-Firma Quick Heal dokumentiert. Es ist bekannt, dass SideCopy Infektionsketten nachahmt, die von der Sidewinder APT implementiert wurden, um seine eigene Malware auszuliefern – in dem Versuch, die Zuordnung zu täuschen und der Erkennung zu entgehen – und dabei ständig neue Nutzlasten zu entwickeln, die nach einer Erkundung der Daten und der Umgebung des Opfers zusätzliche Exploits in ihre Waffen aufnehmen.

    [Blocked Image: https://thehackernews.com/images/-n67Ged8q2YY/YObBZn7fdVI/AAAAAAAADH8/thJdb7kuadA3E2dMXQ2ApA1H4wthYSxTACLcBGAsYHQ/s0/hacker-1.jpg]

    Es wird vermutet, dass der Angreifer pakistanischer Herkunft ist und Verbindungen zur Gruppe Transparent Tribe (auch bekannt als Mythic Leopard) hat, die mit mehreren Angriffen auf das indische Militär und Regierungseinrichtungen in Verbindung gebracht wurde. Bei früheren Kampagnen des Bedrohungsakteurs wurden regierungs- und militärbezogene Köder eingesetzt, um indische Verteidigungseinheiten und Angehörige der Streitkräfte auszusuchen und Malware auszuliefern, die in der Lage ist, auf Dateien zuzugreifen, Daten zwischenzuspeichern, Prozesse zu beenden und sogar beliebige Befehle auszuführen.

    Die jüngste Angriffswelle nutzt eine Vielzahl von TTPs, darunter bösartige LNK-Dateien und Täuschungsdokumente, um eine Kombination aus maßgeschneiderten und kommerziell erhältlichen Standard-RATs wie CetaRAT, DetaRAT, ReverseRAT, MargulasRAT, njRAT, Allakore, ActionRAT, Lillith und Epicenter RAT auszulösen. Abgesehen von militärischen Themen hat SideCopy auch Ausschreibungen und Stellenausschreibungen im Zusammenhang mit Think Tanks in Indien genutzt, um potenzielle Opfer anzusprechen.

    “Die Entwicklung neuer RAT-Malware ist ein Hinweis darauf, dass diese Gruppe von Angreifern ihr Malware-Arsenal und ihre Post-Infektions-Tools seit 2019 schnell weiterentwickelt”, stellten Malhotra und Thattil fest. Die Verbesserungen zeigen eine Bemühung, die Angriffsketten zu modularisieren, während sie auch eine Zunahme der Raffinesse der Taktiken der Gruppe demonstrieren, so die Forscher.

    Neben dem Einsatz von vollwertigen Backdoors wurde SideCopy auch bei der Verwendung von Plugins beobachtet, um bestimmte bösartige Aufgaben auf dem infizierten Endpunkt auszuführen, darunter ein Golang-basiertes Modul namens “Nodachi”, das für die Durchführung von Erkundungen und den Diebstahl von Dateien mit dem Ziel einer von der Regierung vorgeschriebenen Zwei-Faktor-Authentifizierungslösung namens Kavach entwickelt wurde, die für den Zugriff auf E-Mail-Dienste erforderlich ist.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Das Ziel scheint zu sein, Zugangsdaten von indischen Regierungsangestellten zu stehlen, wobei der Schwerpunkt auf Spionage liegt, so die Forscher. Sie fügten hinzu, dass der Bedrohungsakteur Dropper für MargulasRAT entwickelt hat, die sich als Installationsprogramme für Kavach unter Windows ausgeben.

    Der Malware-Forscher @0xrb, der die Kampagne ebenfalls unabhängig verfolgt, meldete sich bei The Hacker News mit zwei weiteren IPs, die von SideCopy-Angreifern verwendet wurden, um sich mit dem Command-and-Control-Server zu verbinden – 103[.]255.7.33 und 115[.]186.190.155 – beide befinden sich in der Stadt Islamabad, was darauf hindeutet, dass der Bedrohungsakteur aus Pakistan stammt.

    “Was als einfacher Infektionsvektor von SideCopy zur Bereitstellung eines benutzerdefinierten RAT (CetaRAT) begann, hat sich zu mehreren Varianten von Infektionsketten entwickelt, die mehrere RATs bereitstellen”, so die Schlussfolgerung der Forscher. “Die Verwendung dieser vielen Infektionstechniken – von LNK-Dateien bis hin zu selbstextrahierenden RAR-EXEs und MSI-basierten Installationsprogrammen – ist ein Hinweis darauf, dass der Akteur aggressiv daran arbeitet, seine Opfer zu infizieren.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com