Các cuộc tấn công lừa đảo nhắm vào các cơ quan chính phủ Ấn Độ

Công ty an ninh mạng Securonix đã gọi hoạt động này là STEPPY#KAVACH, cho rằng tác nhân đe dọa là SideCopy, vì nó có cùng chiến thuật với các cuộc tấn công trước đó.

Các nhà nghiên cứu Den Iuzvyk, Tim Peck và Oleg Kolesnikov của Securonix cho biết: “Các tệp .LNK được sử dụng để thực thi mã ban đầu, sau cùng sẽ tải xuống và chạy payload C# độc hại, có chức năng như một trojan truy cập từ xa (RAT)”.

SideCopy là một nhóm tin tặc được cho là có nguồn gốc từ Pakistan, hoạt động ít nhất là từ năm 2019, có liên quan tới một tác nhân khác có tên là Transparent Tribe (còn gọi là APT36 hoặc Mythic Leopard). Nó cũng mạo danh các chuỗi tấn công mà SideWinder thực hiện.

Đây không phải lần đầu tiên Kavach trở thành mục tiêu của tin tặc. Vào tháng 7/2021, Cisco Talos đã trình bày chi tiết về một hoạt động gián điệp được thực hiện nhằm đánh cắp thông tin đăng nhập của các nhân viên chính phủ Ấn Độ. Kể từ đó, các ứng dụng mồi nhử theo chủ đề Kavach đã được Transparent Tribe đồng chọn trong các cuộc tấn công nhắm vào Ấn Độ suốt từ đầu năm.

Trình tự tấn công mới nhất mà Securonix quan sát được trong vài tuần qua đòi hỏi phải sử dụng email lừa đảo để dụ các nạn nhân mở tệp (.LNK) để thực thi payload .HTA từ xa bằng tiện ích Windows mshta.exe.

Theo thông tin từ phía công ty: "Trên một trang web mục tiêu, nó được lồng bên trong một thư mục “thư viện” được thiết kế để lưu trữ một số hình ảnh của trang web". Trang web bị xâm nhập được là incometaxdelhi[.]org, là trang web chính thức của cơ quan thuế của Ấn Độ, có liên quan đến khu vực Delhi.

Giai đoạn tiếp theo là chạy tệp .HTA dẫn đến việc thực thi mã JavaScript để hiển thị tệp hình ảnh mồi nhử với thông báo từ Bộ Quốc phòng Ấn Độ hồi tháng 12/2021.

Mã JavaScript tiếp tục tải xuống tệp thực thi từ máy chủ từ xa, thiết lập tính bền vững thông qua các sửa đổi Windows Registry và khởi động lại máy để tự động khởi chạy tệp nhị phân. Tệp nhị phân này hoạt động như một cửa hậu cho phép tác nhân đe dọa thực thi các lệnh được gửi từ tên miền do kẻ tấn công kiểm soát, tìm nạp và chạy các payloads bổ sung, chụp ảnh màn hình và trích xuất tệp.

Thành phần lọc cũng có một tùy chọn để tìm kiếm tệp cơ sở dữ liệu ("kavach.db") do ứng dụng Kavach tạo ra trên hệ thống để lưu trữ thông tin đăng nhập.

Điều đáng chú ý là chuỗi lây nhiễm nói trên đã từng được MalwareHunterTeam tiết lộ trong một loạt bài đăng vào ngày 8/12/2022, mô tả trojan truy cập từ xa là MargulasRAT.

Các nhà nghiên cứu cho biết: “Dựa trên dữ liệu tương quan từ các mẫu nhị phân thu được của RAT sử dụng bởi các tác nhân đe dọa, chiến dịch này đã diễn ra nhằm vào các mục tiêu Ấn Độ mà không bị phát hiện trong năm ngoái”./.