Un rapporto su APT SideCopy che prende di mira il governo indiano

Un rapporto di Malwarebytes ha rivelato che un gruppo APT pakistano sta prendendo di mira i governi indiano e afghano, in particolare i funzionari militari per rubare le credenziali sensibili di Google, Twitter e Facebook dai suoi obiettivi e ottenere furtivamente l’accesso dei funzionari del governo. Le ultime scoperte di Malwarebytes entrano nei dettagli sulle nuove tattiche e strumenti adottati dal gruppo APT noto come SideCopy, che è così chiamato a causa dei suoi tentativi di imitare le catene di infezione associate a un altro gruppo tracciato come SideWinder e fuorviare l’attribuzione.

“Le esche utilizzate da SideCopy APT sono solitamente file di archivio che hanno incorporato uno di questi file: LNK, Microsoft Publisher o applicazioni trojanizzate”, ha affermato il rapporto citato dal ricercatore di Malwarebytes Hossein Jazi. Ha aggiunto: “I file incorporati sono personalizzati per prendere di mira funzionari governativi e militari con sede in Afghanistan e India”.

Nel rapporto si afferma che la rivelazione arriva sulla scia di altre rivelazioni secondo cui Meta ha adottato misure per bloccare le attività dannose svolte dal gruppo sulla sua piattaforma utilizzando esche romantiche per compromettere individui con legami con il governo, l’esercito e la legge afghani. Alcuni degli attacchi più importanti sono stati condotti contro personale associato all’Ufficio amministrativo del Presidente (AOP) dell’Afghanistan, nonché al Ministero degli affari esteri, al Ministero delle finanze e all’Autorità nazionale per gli appalti, con conseguente furto di password dei social media e di documenti protetti da password.

“SideCopy ha anche fatto irruzione in un computer condiviso in India e ha raccolto credenziali dai servizi governativi e educativi”, afferma il rapporto. Inoltre, si dice che l’attore abbia sottratto diversi documenti di Microsoft Office, inclusi nomi, numeri e indirizzi e-mail di funzionari e database contenenti informazioni relative a carte d’identità, visti diplomatici e registrazioni di beni dai siti Web del governo afghano, tutti dovrebbero essere utilizzati come esche future o per alimentare ulteriori attacchi contro gli stessi individui.

La campagna di spionaggio informatico osservata da Malwarebytes coinvolge l’obiettivo che apre il documento esca, portando all’esecuzione di un payload che viene utilizzato per rilasciare un trojan di accesso remoto per la fase successiva chiamato ActionRAT, che è in grado di caricare file, eseguire comandi ricevuti da un server, e persino scaricare più payload. Inoltre, è stato rilasciato un nuovo stealer di informazioni chiamato AuTo Stealer, che è programmato per raccogliere file di Microsoft Office, documenti PDF, file di testo, file di database e immagini prima di esfiltrare le informazioni sul suo server tramite HTTP o TCP.

“Questa è lungi dall’essere la prima volta che le tattiche di SideCopy APT sono venute alla luce. Nel settembre 2020, la società di sicurezza informatica Quick Heal ha rivelato dettagli su un attacco di spionaggio rivolto alle unità di difesa indiane e al personale delle forze armate almeno dal 2019 con l’obiettivo di rubare informazioni sensibili”, ha ricordato il rapporto. Poi, all’inizio di luglio, i ricercatori di Cisco Talos hanno esposto la miriade di catene di infezione del gruppo APT che forniscono trojan di accesso remoto su misura e prodotti come CetaRAT, Allakore e njRAT in quella che hanno chiamato un’espansione delle campagne di malware mirate a entità di alto profilo in India.

Il gruppo APT SideCopy: storia e attacchi

APT, una banda di minacce persistenti avanzate che inizia prendendo di mira in modo schiacciante la facoltà delle forze armate indiane, quest’anno ha ampliato la sua azione

Il gruppo, che è stato identificato per la prima volta dal produttore di antivirus Quickheal nel 2020, ha esteso le sue attività e ha aggiunto al suo magazzino di armi strategie corrotte, concentrandosi sulle autorità governative e sull’applicazione Kavach utilizzata dal National Informatics Center (NIC) per arrivare a e-mail del governo.

La banda di APT nota come SideCopy ha aggiunto nuovi Trojan di accesso remoto (RAT) alla propria scorta, come indicato da Cisco Talos. Talos ha notato una “estensione in azione” delle campagne di malware della banda incentrate su elementi critici in India. Le bande APT sono gruppi di attaccanti generalmente supportati da stati che si concentrano sui meccanismi di sicurezza nazionale dei Paesi, sulle loro fondamenta più critiche e così via.

SideCopy ingaggia soggetti destinati a prendere di mira la forza lavoro militare nel subcontinente indiano. Si è trovato un numero significativo di record LNK e archivi di esche utilizzati nei loro assalti che agiscono come rapporti interni e funzionali dell’esercito indiano. Gli operatori del gruppo hanno, quindi, “straordinario interesse” per obiettivi provenienti da India e Pakistan.

L’ultimo attacco lanciato da SideCopy includeva due tipi di esche, inclusi i documenti del corso di formazione NCERT in India e l’elenco dei contatti delle unità NCC. Il nome completo di NCERT è National Council of Educational Research & Training (Consiglio nazionale di ricerca e formazione educativa) dell’India, che è principalmente responsabile del piano educativo nazionale, della creazione di strutture e della formazione del personale. Il documento esca mostra un corso dei NCERT National Curriculum Frameworks (NCF). Il nome completo di NCC è National Cadet Corps (National Cadet Corps), istituito nel 1950 per addestrare le abilità militari degli studenti universitari e inviare personale militare nell’esercito indiano.

Si ipotizza che l’attacco di SideCopy fosse mirato al sistema educativo dell’India, comprese le accademie militari, cercando di ottenere informazioni relative all’addestramento dell’esercito giovanile, il che è coerente con la tendenza costante dell’organizzazione ad attaccare obiettivi.

Il processo di attacco completo

Il processo principale dell’attività SideCopy scoperto questa volta consiste in tre fasi. Ogni fase utilizza uno script hta dannoso come nucleo. I dati per le fasi successive vengono ottenuti attraverso il sito perso e quindi vengono utilizzate una varietà di tecnologie antivirus per rilasciare il ReverseRAT Trojan e il programma client AllaKore da eseguire.

I file dei componenti dell’attacco che sono apparsi in questo attacco sono stati creati all’inizio di luglio 2021 e all’inizio di ottobre 2021. Allo stesso tempo, il processo complessivo di questo attacco è coerente con la nuova attività SideCopy scoperta da BlackLotus Labs a giugno (https://blog.lumen.com/suspected-pakistani-actor-compromises-indian-power-company-with -new-reverserat/). La somiglianza può essere considerata come una continuazione dello spionaggio di SideCopy dello stesso periodo.