Индия столкнулась с волной кибератак, организованных хакерскими группировками Transparent Tribe и IcePeony, работающими из Пакистана и Китая. Эти атаки нацелены на ключевые правительственные структуры и организации.
Transparent Tribe использует вредоносное ПО ElizaRAT и новый инструмент ApoloStealer. В недавнем отчёте компании Check Point отмечается, что ElizaRAT активно использует популярные облачные сервисы – Telegram, Google Drive и Slack – для скрытого управления и передачи данных. Данная группа, известная также под именами APT36 и Datebug, действует с 2013 года и атакует системы на базе Windows, Android и Linux.
ElizaRAT был впервые замечен в июле 2023 года при атаках на индийские госструктуры. С прошлого года атаки нацелены и на Linux-устройства из-за внедрения индийским правительством ОС Maya, созданной на основе Ubuntu. Вредоносные цепочки распространяются через файлы панели управления (CPL), вероятно, с помощью фишинга. С декабря 2023 по август 2024 года было зафиксировано три кампании с использованием виртуальных серверов и облачных сервисов для управления.
Новый инструмент ApoloStealer собирает и отправляет на удалённый сервер файлы различных форматов (DOC, XLS, ZIP и др.). В январе 2024 года Transparent Tribe также добавила компонент-дроппер, обеспечивающий работу ElizaRAT, и модуль ConnectX, который ищет файлы на внешних устройствах.
IcePeony, ранее неизвестная группа, по данным компании nao_sec, также нацелена на госучреждения и университеты в Индии, Маврикии и Вьетнаме. Атаки начинаются с SQL-инъекций и разворачиваются до установки веб-оболочек и бэкдоров. Основная цель – похищение учётных данных.
В арсенале IcePeony – инструмент IceCache, разработанный для взлома Microsoft IIS-серверов, и бэкдор IceEvent, способный загружать и скачивать файлы, а также выполнять команды. Примечательно, что эти киберпреступники работают почти шесть дней в неделю, избегая активности по пятницам и субботам, что указывает на их организованность и профессиональный характер атак.
Таким образом, Индия оказалась на перепутье изощрённых кибератак, где облачные сервисы становятся оружием шпионажа. В новых реалиях кибербезопасность становится не просто превентивной мерой, а необходимым условием для защиты критической инфраструктуры.