Пакистанские хакеры SideCopy используют презентации для шпионажа за исследователями Индии

qbuy1paarmit2b3r3bu71bz6vqn7hwx9.jpg

APT-группа SideCopy проводит новую фишинговую кампанию, в ходе которой распространяет бэкдор Action RAT . Об этом сообщили специалисты компании Cyble в своём отчёте.

Кампания нацелена на организации оборонных исследований и разработок ( DRDO ), научно-исследовательского подразделения Министерства обороны Индии. Цепочка атак начинается с целевых фишинговых писем с вложением в виде ZIP-архива, который содержит LNK-файл, выдающий себя за презентацию о баллистической ракете К-4, разработанной DRDO.

t9xe7bwpqk550l3gmkpzmel9pp2326ui.png

Поддельная презентация

Выполнение LNK-файла приводит к извлечению HTML-приложения с удаленного сервера, который, в свою очередь, отображает поддельную презентацию, а также скрытно развертывает бэкдор Action RAT.

hvvg35i6j9epxj06capp9v3vg1olt2r8.png

Цепочка атак SideCopy

Вредоносное ПО способно выполнять команды, отправленные с сервера управления и контроля (C2, C&C), которые включают:

  • сбор информации о машине-жертве;
  • сбор файлов с устройства;
  • доставку других вредоносных программ.

В ходе кампаний также был развернут новый инфостилер под названием Auto Stealer, который через HTTP или TCP собирает и извлекает файлы Microsoft Office, PDF-документов, баз данных, текстовых файлов и изображений.

SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe . Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.