Участники угрозы, связанные с Пакистаном, были связаны с длительной вредоносной кампанией, получившей название Операция "Небесная сила", по крайней мере, с 2018 года.
По данным Cisco Talos, активность, которая все еще продолжается, влечет за собой использование вредоносного ПО для Android под названием GravityRAT и загрузчика вредоносных программ на базе Windows под кодовым названием HeavyLift, администрирование которых осуществляется с помощью другого автономного инструмента, называемого GravityAdmin.
Служба кибербезопасности приписала вторжение злоумышленнику, которого она отслеживает под псевдонимом Cosmic Leopard (он же SpaceCobra), который, по ее словам, демонстрирует некоторый уровень тактического совпадения с Transparent Tribe.
"Операция "Небесная сила" была активна как минимум с 2018 года и продолжает действовать сегодня, все чаще используя расширяющийся и развивающийся набор вредоносных программ, что указывает на то, что операция, вероятно, достигла высокой степени успеха, нацелившись на пользователей на индийском субконтиненте", — сказали исследователи безопасности Ашир Малхотра и Витор Вентура в техническом отчете, опубликованном The Hacker News.
GravityRAT впервые появилась на свет в 2018 году как вредоносное ПО для Windows, нацеленное на индийские организации с помощью фишинговых электронных писем, обладающее постоянно развивающимся набором функций для сбора конфиденциальной информации со скомпрометированных хостов. С тех пор вредоносное ПО было портировано для работы в операционных системах Android и macOS, что превратило его в мультиплатформенный инструмент.
Последующие выводы, сделанные Meta и ESET в прошлом году, выявили продолжающееся использование Android-версии GravityRAT для атаки на военнослужащих в Индии и в составе ВВС Пакистана, маскируясь под облачные хранилища, развлекательные приложения и чат.
Выводы Cisco Talos объединяют все эти разрозненные, но связанные действия под общим прикрытием, основываясь на доказательствах, указывающих на использование участником угрозы GravityAdmin для организации этих атак.
Было замечено, что Cosmic Leopard в основном использует шпионский фишинг и социальную инженерию для установления доверия с потенциальными целями, прежде чем отправлять им ссылку на вредоносный сайт, который инструктирует их загрузить, казалось бы, безобидную программу, которая сбрасывает GravityRAT или HeavyLift в зависимости от используемой операционной системы.
Говорят, что GravityRAT начали использовать еще в 2016 году. С другой стороны, GravityAdmin - это двоичный файл, используемый для управления зараженными системами как минимум с августа 2021 года путем установления соединений с серверами GravityRAT и HeavyLift command-and-control (C2).
"GravityAdmin состоит из нескольких встроенных пользовательских интерфейсов (UI), которые соответствуют конкретным кампаниям под кодовыми названиями, проводимым злоумышленниками", - отметили исследователи. "Например, "FOXTROT", "CLOUDINFINITY" и "CHATICO" - это названия, данные для всех заражений GravityRAT на базе Android, тогда как "CRAFTWITHME", "SEXYBER" и "CVSCOUT" - это названия атак с использованием HeavyLift".
Недавно обнаруженный компонент в арсенале злоумышленника - HeavyLift, семейство электронных загрузчиков вредоносных программ, распространяемых с помощью вредоносных инсталляторов, нацеленных на операционную систему Windows. Она также имеет сходство с электронными версиями GravityRAT, ранее описанными Касперским в 2020 году.
После запуска вредоносное ПО способно собирать и экспортировать системные метаданные на жестко запрограммированный сервер C2, после чего оно периодически опрашивает сервер на предмет любых новых полезных нагрузок, которые будут выполняться в системе. Более того, она предназначена для выполнения аналогичных функций и на macOS.
"Эта многолетняя операция постоянно нацеливалась на индийские организации и частных лиц, вероятно, принадлежащих к оборонным, правительственным и смежным технологическим сферам", - сказали исследователи.
По данным Cisco Talos, активность, которая все еще продолжается, влечет за собой использование вредоносного ПО для Android под названием GravityRAT и загрузчика вредоносных программ на базе Windows под кодовым названием HeavyLift, администрирование которых осуществляется с помощью другого автономного инструмента, называемого GravityAdmin.
Служба кибербезопасности приписала вторжение злоумышленнику, которого она отслеживает под псевдонимом Cosmic Leopard (он же SpaceCobra), который, по ее словам, демонстрирует некоторый уровень тактического совпадения с Transparent Tribe.
"Операция "Небесная сила" была активна как минимум с 2018 года и продолжает действовать сегодня, все чаще используя расширяющийся и развивающийся набор вредоносных программ, что указывает на то, что операция, вероятно, достигла высокой степени успеха, нацелившись на пользователей на индийском субконтиненте", — сказали исследователи безопасности Ашир Малхотра и Витор Вентура в техническом отчете, опубликованном The Hacker News.
GravityRAT впервые появилась на свет в 2018 году как вредоносное ПО для Windows, нацеленное на индийские организации с помощью фишинговых электронных писем, обладающее постоянно развивающимся набором функций для сбора конфиденциальной информации со скомпрометированных хостов. С тех пор вредоносное ПО было портировано для работы в операционных системах Android и macOS, что превратило его в мультиплатформенный инструмент.
Последующие выводы, сделанные Meta и ESET в прошлом году, выявили продолжающееся использование Android-версии GravityRAT для атаки на военнослужащих в Индии и в составе ВВС Пакистана, маскируясь под облачные хранилища, развлекательные приложения и чат.
Выводы Cisco Talos объединяют все эти разрозненные, но связанные действия под общим прикрытием, основываясь на доказательствах, указывающих на использование участником угрозы GravityAdmin для организации этих атак.
Было замечено, что Cosmic Leopard в основном использует шпионский фишинг и социальную инженерию для установления доверия с потенциальными целями, прежде чем отправлять им ссылку на вредоносный сайт, который инструктирует их загрузить, казалось бы, безобидную программу, которая сбрасывает GravityRAT или HeavyLift в зависимости от используемой операционной системы.
Говорят, что GravityRAT начали использовать еще в 2016 году. С другой стороны, GravityAdmin - это двоичный файл, используемый для управления зараженными системами как минимум с августа 2021 года путем установления соединений с серверами GravityRAT и HeavyLift command-and-control (C2).
"GravityAdmin состоит из нескольких встроенных пользовательских интерфейсов (UI), которые соответствуют конкретным кампаниям под кодовыми названиями, проводимым злоумышленниками", - отметили исследователи. "Например, "FOXTROT", "CLOUDINFINITY" и "CHATICO" - это названия, данные для всех заражений GravityRAT на базе Android, тогда как "CRAFTWITHME", "SEXYBER" и "CVSCOUT" - это названия атак с использованием HeavyLift".
Недавно обнаруженный компонент в арсенале злоумышленника - HeavyLift, семейство электронных загрузчиков вредоносных программ, распространяемых с помощью вредоносных инсталляторов, нацеленных на операционную систему Windows. Она также имеет сходство с электронными версиями GravityRAT, ранее описанными Касперским в 2020 году.
После запуска вредоносное ПО способно собирать и экспортировать системные метаданные на жестко запрограммированный сервер C2, после чего оно периодически опрашивает сервер на предмет любых новых полезных нагрузок, которые будут выполняться в системе. Более того, она предназначена для выполнения аналогичных функций и на macOS.
"Эта многолетняя операция постоянно нацеливалась на индийские организации и частных лиц, вероятно, принадлежащих к оборонным, правительственным и смежным технологическим сферам", - сказали исследователи.
