Un attore di minaccia legato al Pakistan è stato osservato mentre prendeva di mira vari settori in India utilizzando diversi remote access trojan come Xeno RAT, Spark RAT e una famiglia di malware precedentemente non documentata chiamata CurlBack RAT. L’attività, rilevata da SEQRITE nel dicembre 2024, ha preso di mira entità indiane nei settori ferroviario, petrolifero e del gas, e nei ministeri degli affari esteri, segnando un’espansione del raggio d’azione del gruppo di hacker oltre i settori governativo, della difesa, marittimo e universitario.
Un cambiamento notevole nelle campagne recenti è la transizione dall’uso di file HTML Application (HTA) all’adozione di pacchetti Microsoft Installer (MSI) come meccanismo di staging primario, ha affermato il ricercatore di sicurezza Sathwik Ram Prakki. SideCopy è sospettato di essere un sottogruppo all’interno di Transparent Tribe (noto anche come APT36) attivo almeno dal 2019. È così chiamato per imitare le catene di attacco associate a un altro attore di minaccia chiamato SideWinder per distribuire i propri payload.
Nel giugno 2024, SEQRITE ha evidenziato l’uso da parte di SideCopy di file HTA offuscati, sfruttando una tecnica precedentemente osservata negli attacchi di SideWinder. I file contenevano anche riferimenti a URL che ospitavano file RTF identificati come utilizzati da SideWinder. Gli attacchi culminavano nel dispiegamento di Action RAT e ReverseRAT, due famiglie di malware note attribuite a SideCopy, e diversi altri payload, tra cui Cheex per rubare documenti e immagini, un copiatrice USB per sottrarre dati da unità collegate, e un Geta RAT basato su .NET in grado di eseguire 30 comandi inviati da un server remoto.
Il RAT è equipaggiato per rubare dati di browser basati su Firefox e Chromium di tutti gli account, profili e cookie, una caratteristica presa in prestito da AsyncRAT. APT36 si concentra principalmente sui sistemi Linux mentre SideCopy prende di mira i sistemi Windows aggiungendo nuovi payload al suo arsenale, ha osservato SEQRITE all’epoca. Le ultime scoperte dimostrano una continua maturazione del gruppo di hacker, che si afferma mentre sfrutta il phishing basato su email come vettore di distribuzione per il malware. Questi messaggi email contengono vari tipi di documenti esca, che vanno da elenchi di ferie per il personale ferroviario a linee guida sulla sicurezza informatica emesse da un’impresa del settore pubblico chiamata Hindustan Petroleum Corporation Limited (HPCL).
Un cluster di attività è particolarmente degno di nota data la sua capacità di prendere di mira sia i sistemi Windows che Linux, portando infine al dispiegamento di un remote access trojan cross-platform noto come Spark RAT e un nuovo malware basato su Windows chiamato CurlBack RAT che può raccogliere informazioni di sistema, scaricare file dall’host, eseguire comandi arbitrari, elevare i privilegi e elencare gli account utente. Un secondo cluster è stato osservato mentre utilizzava i file esca come modo per avviare un processo di infezione a più fasi che rilascia una versione personalizzata di Xeno RAT, che incorpora metodi di manipolazione delle stringhe di base.
Il gruppo ha spostato l’uso dei file HTA ai pacchetti MSI come meccanismo di staging primario e continua a impiegare tecniche avanzate come il DLL sideloading per eludere le difese. Queste attività dimostrano un’evoluzione continua e una sofisticazione crescente delle loro operazioni, rendendo la minaccia sempre più complessa da contrastare.
Fonte: The Hackers News
