В декабре 2024 года специалисты SEQRITE зафиксировали активизацию пакистанской группы SideCopy, которая считается подкластером известной APT36 (Transparent Tribe). Главная цель атак — министерства Индии, в том числе железнодорожной отрасли, нефтегазового комплекса и министерства иностранных дел. Ранее жертвами этой группы становились также оборонные, морские структуры и университеты.
Хакеры используют различные методы социальной инженерии. Часто в качестве приманки рассылаются документы с тематиками, связанными с официальными праздниками для железнодорожников или рекомендациями по кибербезопасности от Hindustan Petroleum Corporation Limited (HPCL). Вредоносные вложения маскируются под легитимные файлы, что повышает вероятность успешного заражения.
В последнее время злоумышленники изменили механизм доставки вредоносных программ. Если ранее основным инструментом были файлы HTML Application (HTA), то теперь основной упор делается на установочные пакеты Microsoft Installer (MSI). По словам исследователя Сатвика Рама Праки из SEQRITE: «Одним из заметных изменений последних кампаний стало переключение с HTA-файлов на MSI-пакеты как основной механизм доставки».
В арсенале SideCopy и связанных с ней групп обнаружены несколько разновидностей вредоносных программ. Среди них — ранее неизвестный CurlBack RAT, кроссплатформенный Spark RAT, а также Xeno RAT, Action RAT, ReverseRAT, Geta RAT и Cheex. CurlBack RAT способен собирать системную информацию, скачивать файлы с заражённого устройства, выполнять любые команды, повышать уровень привилегий и выводить список учётных записей пользователей.
Особого внимания заслуживает Geta RAT, написанный . Он может выполнять до 30 удалённых команд, а также похищать данные браузеров Firefox и Chromium — все аккаунты, профили и куки. Эта функция была позаимствована у другого вредоноса — AsyncRAT. Cheex специализируется на краже документов и изображений, а USB copier предназначен для автоматического сбора данных с подключаемых внешних дисков.
Для закрепления в системе и обхода защитных механизмов используются такие техники, как DLL side-loading, reflective loading и дешифровка вредоносных компонентов с помощью PowerShell и AES. Управляющие сервера располагаются на скомпрометированных и поддельных доменах, что затрудняет обнаружение атак. В дополнение к этому, открытые исходные коды ряда RAT (например, Xeno RAT, Spark RAT) подвергаются модификации, что усложняет их идентификацию средствами традиционной антивирусной защиты.
По данным SEQRITE, «APT36 в основном нацелен на системы Linux, тогда как SideCopy атакует Windows, постоянно пополняя свой арсенал новыми вредоносами». Эксперты отмечают, что группа расширяет круг своих жертв, выходя за пределы привычных для себя секторов.
SideCopy не только активно внедряет новые типы вредоносных программ, но и меняет тактику доставки и закрепления в системах жертв. Как подчеркивают аналитики: «Группа перешла от HTA-файлов к MSI-пакетам как основному механизму доставки и продолжает использовать продвинутые техники, такие как DLL side-loading, reflective loading и AES-дешифрование через PowerShell».
Киберугрозы от SideCopy и связанных с ней групп продолжают эволюционировать. Использование новых инструментов и тактик требует от потенциальных жертв постоянного повышения уровня киберзащиты, а также бдительности при работе с почтовыми вложениями и неизвестными источниками.
Изображение носит иллюстративный характер
Хакеры используют различные методы социальной инженерии. Часто в качестве приманки рассылаются документы с тематиками, связанными с официальными праздниками для железнодорожников или рекомендациями по кибербезопасности от Hindustan Petroleum Corporation Limited (HPCL). Вредоносные вложения маскируются под легитимные файлы, что повышает вероятность успешного заражения.
В последнее время злоумышленники изменили механизм доставки вредоносных программ. Если ранее основным инструментом были файлы HTML Application (HTA), то теперь основной упор делается на установочные пакеты Microsoft Installer (MSI). По словам исследователя Сатвика Рама Праки из SEQRITE: «Одним из заметных изменений последних кампаний стало переключение с HTA-файлов на MSI-пакеты как основной механизм доставки».
В арсенале SideCopy и связанных с ней групп обнаружены несколько разновидностей вредоносных программ. Среди них — ранее неизвестный CurlBack RAT, кроссплатформенный Spark RAT, а также Xeno RAT, Action RAT, ReverseRAT, Geta RAT и Cheex. CurlBack RAT способен собирать системную информацию, скачивать файлы с заражённого устройства, выполнять любые команды, повышать уровень привилегий и выводить список учётных записей пользователей.
Особого внимания заслуживает Geta RAT, написанный . Он может выполнять до 30 удалённых команд, а также похищать данные браузеров Firefox и Chromium — все аккаунты, профили и куки. Эта функция была позаимствована у другого вредоноса — AsyncRAT. Cheex специализируется на краже документов и изображений, а USB copier предназначен для автоматического сбора данных с подключаемых внешних дисков.
Для закрепления в системе и обхода защитных механизмов используются такие техники, как DLL side-loading, reflective loading и дешифровка вредоносных компонентов с помощью PowerShell и AES. Управляющие сервера располагаются на скомпрометированных и поддельных доменах, что затрудняет обнаружение атак. В дополнение к этому, открытые исходные коды ряда RAT (например, Xeno RAT, Spark RAT) подвергаются модификации, что усложняет их идентификацию средствами традиционной антивирусной защиты.
По данным SEQRITE, «APT36 в основном нацелен на системы Linux, тогда как SideCopy атакует Windows, постоянно пополняя свой арсенал новыми вредоносами». Эксперты отмечают, что группа расширяет круг своих жертв, выходя за пределы привычных для себя секторов.
SideCopy не только активно внедряет новые типы вредоносных программ, но и меняет тактику доставки и закрепления в системах жертв. Как подчеркивают аналитики: «Группа перешла от HTA-файлов к MSI-пакетам как основному механизму доставки и продолжает использовать продвинутые техники, такие как DLL side-loading, reflective loading и AES-дешифрование через PowerShell».
Киберугрозы от SideCopy и связанных с ней групп продолжают эволюционировать. Использование новых инструментов и тактик требует от потенциальных жертв постоянного повышения уровня киберзащиты, а также бдительности при работе с почтовыми вложениями и неизвестными источниками.
