برمجيات خبيثة تستهدف حكومة الهند والجيش. كشفت شركة الأمن الإلكتروني “SEQRITE” عن حملة تصيد تستهدف مؤسسات حكومية هندية وقطاع الدفاع، مصممة لنشر برمجيات خبيثة مكتوبة بلغة Rust لجمع المعلومات الاستخبارية. تم الكشف عن النشاط لأول مرة في أكتوبر 2023، وأطلق عليه اسم “عملية خشب ريفي”.
وقال الباحث الأمني ساتويك رام براكي: “تم استخدام حمولات جديدة تعتمد على Rust وأوامر PowerShell مشفرة لاستخراج المستندات السرية إلى محرك خدمة ويب. بدلاً من خادم الأمر والتحكم (C2) مخصص.”
تم اكتشاف تداخلات تكتيكية بين المجموعة وتلك التي يتم تعقبها على نطاق واسع تحت اسمي “القبيلة الشفافة” و “نسخة جانبية”. واللذان يُعتقد أنهما مرتبطان بباكستان. يشتبه أيضًا في أن SideCopy هو عنصر تابع تابع داخل Transparent Tribe. في الشهر الماضي. قامت SEQRITE بتفصيل حملات متعددة قام بها الجهات الفاعلة للتهديد التي تستهدف الهيئات الحكومية الهندية لتقديم عدد من أحصنة طروادة مثل AllaKore RAT و Ares RAT و DRat.
استخدمت سلاسل هجوم أخرى.
وثقتها ThreatMon ملفات Microsoft PowerPoint كطُعم بالإضافة إلى أرشيفات RAR مصممة خصيصًا معرضة لثغرة CVE-2023-38831 لتسليم البرامج الضارة. مما يسمح بالوصول والتحكم عن بعد دون قيود.
لاحظت ThreatMon في وقت سابق من هذا العام: “تتضمن سلسلة إصابة SideCopy APT Group عدة خطوات. يتم تنظيم كل منها بعناية لضمان الاختراق الناجح.”
تبدأ مجموعة الهجمات الأخيرة برسالة تصيد. تستخدم تقنيات الهندسة الاجتماعية لخداع الضحايا للتفاعل مع ملفات PDF ضارة تسقط حمولات Rust لاستقصاء نظام الملفات في الخلفية أثناء عرض ملف الطُعم للضحية.
بجانب جمع الملفات المهمة. تم تجهيز البرامج الضارة لجمع معلومات النظام ونقلها إلى خادم C2 ولكنها تفتقر إلى ميزات برامج سرقة أخرى متقدمة متوفرة في عالم الجريمة الإلكترونية.
تستخدم سلسلة إصابة ثانية حددتها SEQRITE في ديسمبر عملية متعددة المراحل مماثلة ولكنها تحل محل برنامج Rust الخبيث بنص PowerShell يتولى خطوات الاستقصاء والاستخراج. ولكن في تحول مثير للاهتمام. يتم تشغيل الحمولة النهائية من خلال برنامج Rust قابل للتنفيذ يحمل اسم “Cisco AnyConnect Web Helper”. يتم تحميل المعلومات التي تم جمعها في النهاية إلى oshi [.] at domain، وهي محرك مشاركة ملفات عام مجهول يسمى OshiUpload.
كما قال رام براكي: “عملية خشب ريفي يمكن أن ترتبط بتهديد APT حيث تشارك تشابهات مع مجموعات مختلفة مرتبطة بباكستان.”
تم الكشف ما يقرب من شهرين.
يأتي الكشف بعد ما يقرب من شهرين من كشف Cyble عن تطبيق Android ضار يستخدمه فريق DoNot يستهدف الأفراد في منطقة كشمير بالهند.
يعتقد أن الجهة الفاعلة للدولة القومية، والمعروفة أيضًا باسم APT-C-35 و Origami Elephant و SECTOR02. من أصل هندي ولها تاريخ من استخدام برامج Android الخبيثة للتسلل إلى أجهزة الأشخاص في كشمير وباكستان.
الحاصل الذي فحصته Cyble هو نسخة Trojanized من مشروع GitHub مفتوح المصدر يسمى “QuranApp: Read and Explore” . مزود بمجموعة واسعة من ميزات برامج التجسس لتسجيل مكالمات الصوت والمكالمات الصوتية عبر بروتوكول الإنترنت. والتقاط لقطات شاشة. وجمع البيانات من مختلف التطبيقات. وتنزيل ملفات APK إضافية. وتعقب موقع الضحية.
بينما قالت Cyble: “جهود مجموعة DoNot الدؤوبة لتحسين أدواتها وتقنياتها تسلط الضوء على التهديد المستمر الذي تشكله. خاصة في استهدافها للأفراد في منطقة كشمير الحساسة بالهند.”
في النهاية برمجيات خبيثة تستهدف حكومة الهند والجيش. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.