Исследователи раскрыли сложную кампанию кибершпионажа — операцию RusticWeb, которую злоумышленники используют для нападения на различных сотрудников индийского правительства с целью кражи конфиденциальных документов, говорится в новом отчете, опубликованном IANS. Источник: Morungexpress
По данным Seqrite, корпоративного подразделения глобального поставщика решений по кибербезопасности Quick Heal, кампания, впервые обнаруженная в октябре 2023 года, использует вредоносное ПО на основе Rust и зашифрованные команды PowerShell для кражи конфиденциальных документов.
Кампания началась с фишинговой кампании, нацеленной на государственных служащих. Злоумышленники использовали как скомпрометированные, так и поддельные домены для размещения вредоносной полезной нагрузки и ложных файлов, начиная от форм прав интеллектуальной собственности и заканчивая поддельными доменами, имитирующими престижные организации, такие как Армейское общество социального образования, отмечают исследователи.
Файлы-ловушки, предназначенные для заманивания жертв в вредоносную сеть, включают формы, связанные с Фондом обеспечения офицеров оборонных ведомств, и презентации об инициативах Министерства обороны.
Хакеры похищают конфиденциальные документы через веб-службу, что делает их тактику кибершпионажа еще более изощренной.
Первая наблюдаемая цепочка заражения в значительной степени опиралась на полезные нагрузки на основе Rust: вредоносный файл ярлыка запускал сложную последовательность действий, ведущую к краже конфиденциальных данных.
Согласно отчету, вторая цепочка заражения, наблюдавшаяся в декабре, развертывала вредоносные документы с использованием зашифрованных команд PowerShell, демонстрируя универсальность и адаптивность злоумышленников. Последней частью кампании кибершпионажа является вредоносное ПО на базе Rust, которое похищает данные.
По мнению исследователей, это сложное вредоносное ПО не только похищает файлы, но и собирает системную информацию, обеспечивая широкие возможности разведки.
Злоумышленники используют анонимный общедоступный механизм обмена файлами OshiUpload для кражи данных, избегая традиционного использования выделенных серверов управления и контроля.
Напомним, в конце октября 2023 г. кибератаке хакеров подверглись индийские правительственные сайты и военные структуры.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet