Aktor ancaman yang memiliki ikatan dengan Pakistan telah diamati menargetkan berbagai sektor di India dengan berbagai trojan akses jarak jauh seperti Xeno Rat, Spark Rat, dan keluarga malware yang sebelumnya tidak berdokumen yang disebut Tikus Curlback.
Kegiatan tersebut, yang terdeteksi oleh Seqrite pada bulan Desember 2024, menargetkan entitas India di bawah pelayanan Kereta Api, Minyak dan Gas, dan Urusan Luar Negeri, menandai perluasan jejak kaki yang menargetkan kru peretasan di luar pemerintah, pertahanan, sektor maritim, dan universitas.
“Salah satu pergeseran penting dalam kampanye terbaru adalah transisi dari menggunakan file HTML Application (HTA) untuk mengadopsi paket Microsoft Installer (MSI) sebagai mekanisme pementasan utama,” kata peneliti keamanan Sathwik Ram Prakki.
Sidecopy diduga menjadi sub-cluster dalam suku transparan (alias APT36) yang aktif sejak setidaknya 2019. Dinamai demikian untuk meniru rantai serangan yang terkait dengan aktor ancaman lain yang disebut Sidewinder untuk memberikan muatannya sendiri.
Pada bulan Juni 2024, Seqrite menyoroti penggunaan file HTA yang dikaburkan, leveraging teknik yang sebelumnya diamati dalam serangan Sidewinder. File -file tersebut juga ditemukan berisi referensi ke URL yang di -host file RTF yang diidentifikasi seperti yang digunakan oleh Sidewinder.
Serangan itu memuncak dalam penyebaran aksi tikus dan reverSerat, dua keluarga malware yang diketahui dikaitkan dengan sampingan, dan beberapa muatan lainnya, termasuk Cheex untuk mencuri dokumen dan gambar, mesin fotokopi USB untuk memadamkan data dari drive yang terlampir, dan server get yang berbasis.
Tikus dilengkapi untuk mencuri data browser berbasis Firefox dan Chromium dari semua akun, profil, dan cookie, fitur yang dipinjam dari Asyncrat.
“Fokus APT36 adalah sistem Linux yang umum sedangkan sidecopy menargetkan sistem Windows yang menambahkan muatan baru ke gudang senjata,” kata Seqrite pada saat itu.
Temuan terbaru menunjukkan pematangan berkelanjutan dari grup peretasan, datang sendiri, sambil memanfaatkan phishing berbasis email sebagai vektor distribusi untuk malware. Pesan email ini berisi berbagai jenis dokumen iming -iming, mulai dari daftar liburan untuk staf kereta api hingga pedoman keamanan siber yang dikeluarkan oleh sektor publik yang disebut Hindustan Petroleum Corporation Limited (HPCL).
Salah satu gugusan aktivitas sangat penting mengingat kemampuannya untuk menargetkan sistem Windows dan Linux, yang pada akhirnya mengarah ke penyebaran akses jarak jauh lintas platform yang dikenal sebagai Spark Rat dan malware berbasis Windows yang baru dikodekan dengan Rat Curlback yang dapat mengumpulkan informasi sistem, mengunduh file dari host, menjalankan perintah arbitrary, meninggal hak istimewa pengguna, dan meninggal hak pengguna.
Cluster kedua telah diamati menggunakan file umpan sebagai cara untuk memulai proses infeksi multi-langkah yang menjatuhkan versi kustom Xeno Rat, yang menggabungkan metode manipulasi string dasar.
“Grup telah bergeser dari menggunakan file HTA ke paket MSI sebagai mekanisme pementasan utama dan terus menggunakan teknik canggih seperti pemuatan samping DLL, pemuatan reflektif, dan dekripsi AES melalui PowerShell,” kata perusahaan itu.
“Selain itu, mereka memanfaatkan alat sumber terbuka yang disesuaikan seperti Xeno Rat dan Spark Rat, bersama dengan menyebarkan tikus curlback yang baru diidentifikasi. Domain yang dikompromikan dan situs palsu sedang digunakan untuk phishing kredensial dan hosting muatan, menyoroti upaya berkelanjutan kelompok untuk meningkatkan ketekunan dan menghindari deteksi.”
