Pakistan ile bağlantılı bir tehdit aktörünün Xeno RAT, Spark RAT ve daha önce belgelenmemiş CurlBack RAT adlı kötü amaçlı yazılım ailesi gibi çeşitli uzaktan erişim truva atlarıyla Hindistan’daki çeşitli sektörleri hedef aldığı gözlemlendi.
SEQRITE tarafından Aralık 2024’te tespit edilen faaliyet, demiryolu, petrol ve gaz ve dışişleri bakanlıkları altındaki Hint kuruluşlarını hedef aldı ve bilgisayar korsanlığı ekibinin hedefleme ayak izinin hükümet, savunma, denizcilik sektörleri ve üniversitelerin ötesine geçtiğine işaret etti.
Güvenlik araştırmacısı Sathwik Ram Prakki, “Son kampanyalarda dikkat çeken bir değişiklik, HTML Uygulama (HTA) dosyalarının kullanılmasından Microsoft Installer (MSI) paketlerinin birincil hazırlama mekanizması olarak benimsenmesine geçiştir” dedi.
SideCopy’nin Transparent Tribe (diğer adıyla APT36) içinde en az 2019’dan beri aktif olan bir alt küme olduğundan şüpheleniliyor. SideWinder adlı başka bir tehdit aktörüyle ilişkili saldırı zincirlerini taklit ederek kendi yüklerini gönderdiği için bu şekilde adlandırılmıştır.
Haziran 2024’te SEQRITE, SideCopy’nin daha önce SideWinder saldırılarında gözlemlenen tekniklerden yararlanarak gizlenmiş HTA dosyalarını kullandığını vurgulamıştır. Dosyaların ayrıca SideWinder tarafından kullanıldığı tespit edilen RTF dosyalarını barındıran URL’lere referanslar içerdiği tespit edildi.
Saldırılar, SideCopy’ye atfedilen iki bilinen kötü amaçlı yazılım ailesi olan Action RAT ve ReverseRAT’ın ve belge ve görüntüleri çalmak için Cheex, bağlı sürücülerden veri çekmek için bir USB kopyalayıcı ve uzak bir sunucudan gönderilen 30 komutu yürütebilen .NET tabanlı Geta RAT dahil olmak üzere diğer birçok yükün dağıtılmasıyla sonuçlandı.
RAT, AsyncRAT’tan ödünç alınan bir özellik olan tüm hesapların, profillerin ve çerezlerin hem Firefox hem de Chromium tabanlı tarayıcı verilerini çalmak için donatılmıştır.
SEQRITE, “APT36 büyük ölçüde Linux sistemlerine odaklanırken, SideCopy cephaneliğine yeni yükler ekleyerek Windows sistemlerini hedefliyor” dedi.
Son bulgular, kötü amaçlı yazılımlar için bir dağıtım vektörü olarak e-posta tabanlı kimlik avından yararlanan bilgisayar korsanlığı grubunun olgunlaşmaya devam ettiğini gösteriyor. Bu e-posta mesajları, demiryolu personeli için tatil listelerinden Hindustan Petroleum Corporation Limited (HPCL) adlı bir kamu sektörü kuruluşu tarafından yayınlanan siber güvenlik yönergelerine kadar çeşitli cazip belgeler içeriyor.
Bir faaliyet kümesi, hem Windows hem de Linux sistemlerini hedef alma kabiliyeti nedeniyle özellikle dikkat çekicidir ve sonuçta Spark RAT olarak bilinen çapraz platform uzaktan erişim truva atının ve sistem bilgilerini toplayabilen, ana bilgisayardan dosya indirebilen, keyfi komutlar çalıştırabilen, ayrıcalıkları yükseltebilen ve kullanıcı hesaplarını listeleyebilen CurlBack RAT kod adlı yeni bir Windows tabanlı kötü amaçlı yazılımın dağıtılmasına yol açmıştır.
İkinci bir kümenin, yem dosyalarını, temel dize manipülasyon yöntemlerini içeren Xeno RAT’ın özel bir sürümünü bırakan çok adımlı bir bulaşma sürecini başlatmanın bir yolu olarak kullandığı gözlemlenmiştir.
Şirket, “Grup, birincil hazırlama mekanizması olarak HTA dosyalarını kullanmaktan MSI paketlerine geçti ve DLL yan yükleme, yansıtıcı yükleme ve PowerShell aracılığıyla AES şifre çözme gibi gelişmiş teknikleri kullanmaya devam ediyor” dedi.
“Ayrıca, Xeno RAT ve Spark RAT gibi özelleştirilmiş açık kaynak araçlarının yanı sıra yeni tanımlanan CurlBack RAT’ı da kullanıyorlar. Kimlik bilgisi kimlik avı ve yük barındırma için güvenliği ihlal edilmiş alan adları ve sahte siteler kullanılıyor, bu da grubun sürekliliği artırma ve tespitten kaçma çabalarını vurguluyor.”
