Pakistan-Hindistan gerilimi siber savaşa da yansıdı. Pakistanlı Siber Korsanlar Hindistan’ı Hedef Aldı…
Hindistan ve Afganistan’ı hedef alan gelişmiş kalıcı tehdit (APT) grubu, Action RAT sağlayan yeni bir kimlik avı siber saldırısıyla ilişkilendirildi.
Operasyonu Sidecopy’ye bağlayan Cyble’a göre, faaliyet kümesi Hindistan Savunma Bakanlığı’nın araştırma ve geliştirme kanadı olan Savunma Araştırma ve Geliştirme Örgütü’nü (DRDO) hedef alacak şekilde tasarlandı.
SideWinder ile ilişkili enfeksiyon zincirlerini kendi kötü amaçlı yazılımlarını sunmak için taklit etmesiyle tanınan SideCopy, Transparent Tribe ile örtüşen Pakistan kökenli bir tehdit grubudur. En az 2019’dan beri aktif.
Grup tarafından kurulan saldırı zincirleri, ilk erişimi elde etmek için spam e-postalarının kullanılmasını içerir. Bu iletiler, bir Windows kısayol dosyası (.LNK) DRDO tarafından geliştirilen K-4 balistik füzesi hakkında bilgi olarak maskeleniyor.
Yürütülüyor .LNK dosyası, uzak bir sunucudan bir HTML uygulamasının alınmasına yol açar ve bu da bir tuzak sunumu görüntüler ve aynı zamanda Eylem olarak (backdoor) arka kapısını gizlice dağıtır.
İlginizi çekebilecek yazımız:
İlgili Yazı: Siber Güvenlik Bölümü | Siber Güvenlik Taban Puanları 2023
Kötü amaçlı yazılım, mağdur makine hakkında bilgi toplamanın yanı sıra, dosyaları toplamak ve takip eden kötü amaçlı yazılımları bırakmak da dahil olmak üzere bir komut ve kontrol (C2) sunucusundan gönderilen komutları çalıştırabilir.
Ayrıca dağıtılan, Microsoft Office dosyalarını, PDF belgelerini, veritabanı ve metin dosyalarını ve görüntüleri HTTP veya TCP üzerinden toplamak ve filtrelemek için donatılmış, Otomatik Hırsız olarak adlandırılan yeni bir bilgi çalan kötü amaçlı yazılımdır.
Cyble, “APT grubu, cephaneliğine yeni araçlar eklerken tekniklerini sürekli geliştiriyor” dedi.
Bu, Side Copy’nin Hindistan’a yönelik saldırılarında Action rat’ı ilk kez kullanması değil.
Aralık 2021’de Malwarebytes, hassas kimlik bilgilerini çalmak için Afganistan’daki bir bakanlığı ve Hindistan’daki ortak bir hükümet bilgisayarını ihlal eden izinsiz girişi açıkladı. Pakistanlı siber korsanlar siber saldırıları duracağa benzemiyor.
En son bulgular, düşman mürettebatın ReverseRAT adlı bir uzaktan erişim truva atı ile Hindistan devlet kurumlarını hedef aldığını tespit etmesinden bir ay sonra geldi.
Bu yazı The Hacker News üzerinden Siber Güvenlik Portalı takipçileri için çevirilmiştir.
Haber Kaynağı: The Hacker News