Специалисты в области веб-инфраструктуры и безопасности из компании Cloudflare выявили активность продвинутой группы хакеров, связанных с Индией, которую назвали SloppyLemming (также известна как Outrider Tiger и Fishing Elephant). Эта группировка использует сервисы облачных провайдеров для сбора данных учётных записей, распространения вредоносного ПО и управления атаками.
С конца 2022 года SloppyLemming регулярно применяет Cloudflare Workers для проведения кибершпионажа, направленного на Южную и Восточную Азию. Известно, что группа действует как минимум с июля 2021 года, ранее используя вредоносное ПО Ares RAT и WarHawk. Последнее связано с известной хакерской группировкой SideWinder, а Ares RAT – с угрозой SideCopy, которая, вероятно, имеет пакистанское происхождение.
Целями атак SloppyLemming становятся государственные учреждения, правоохранительные органы, энергетические и технологические компании, а также образовательные и телекоммуникационные организации в Пакистане, Шри-Ланке, Бангладеш, Китае, Непале и Индонезии. Основной метод атак – фишинговые письма, побуждающие жертв нажать на вредоносную ссылку якобы для выполнения обязательного действия в течение 24 часов.
Переход по ссылке приводит к странице, предназначенной для кражи учётных данных, после чего злоумышленники получают несанкционированный доступ к корпоративной электронной почте. Для реализации этой атаки SloppyLemming использует инструмент CloudPhish, который создаёт вредоносные Cloudflare Workers и перехватывает данные учётных записей.
Также зафиксированы случаи, когда хакеры использовали уязвимость в WinRAR ( CVE-2023-38831 ) для удалённого выполнения кода, отправляя заражённые RAR-архивы, маскирующиеся под файлы из приложения для сканирования CamScanner. Внутри архива находится исполняемый файл, загружающий троян с Dropbox.
Ранее, в аналогичной кампании SideCopy, хакеры распространяли Ares RAT с использованием ZIP-архивов под названием “DocScanner_AUG_2023.zip” и “DocScanner-Oct.zip”. Целью атаки тогда были индийские государственные и оборонные ведомства.
Третий метод заражения от SloppyLemming предполагает перенаправление жертв на поддельный сайт, имитирующий официальный ресурс Совета информационных технологий Пенджаба в Пакистане. После этого пользователей перенаправляют на другой сайт, где они скачивают вредоносный ярлык, ведущий к исполняемому файлу “PITB-JR5124.exe”. Этот файл запускает загрузку вредоносной DLL-библиотеки, которая связывается с Cloudflare Workers для передачи данных злоумышленникам.
По информации Cloudflare, хакеры из SloppyLemming активно атакуют полицию и другие правоохранительные структуры Пакистана, а также организации, связанные с эксплуатацией единственной в стране ядерной электростанции. Кроме того, среди целей группы – военные и правительственные учреждения Шри-Ланки и Бангладеш, а также китайские компании энергетического и образовательного секторов.