APT-группа SideCopy проводит новую фишинговую кампанию, в ходе которой распространяет Action . Об этом специалисты компании в своём отчёте.
Кампания нацелена на организации оборонных исследований и разработок (DRDO), научно-исследовательского подразделения Министерства обороны Индии. Цепочка атак начинается с целевых фишинговых писем с вложением в виде ZIP-архива, который содержит LNK-файл, выдающий себя за презентацию о баллистической ракете К-4, разработанной DRDO.
Поддельная презентация
Выполнение LNK-файла приводит к извлечению HTML-приложения с удаленного сервера, который, в свою очередь, отображает поддельную презентацию, а также скрытно развертывает бэкдор Action RAT.
Цепочка атак SideCopy
Вредоносное ПО способно выполнять команды, отправленные с сервера управления и контроля (C2, C&C), которые включают:
- сбор информации о машине-жертве;
- сбор файлов с устройства;
- доставку других вредоносных программ.
В ходе кампаний также был развернут новый инфостилер под названием Auto Stealer, который через HTTP или TCP собирает и извлекает файлы Microsoft Office, PDF-документов, баз данных, текстовых файлов и изображений.
SideCopy – хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe . Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.