思科公司(Cisco)的Talos安全研究人員警告稱,一個(gè)威脅行為者正在使用商業(yè)遠(yuǎn)程訪問木馬(RATs)對印度政府和軍事人員進(jìn)行一系列惡意攻擊。與APT36(又名神話豹和透明部落( Mythic Leopard and Transparent Tribe))和SideCopy組織的行動相似,,攻擊者使用了Netwire和Warzone (AveMaria) RATs,,誘餌圍繞印度國家信息中心(NIC)的Kavach雙因素認(rèn)證(2FA)應(yīng)用程序,。APT36和SideCopy此前被歸因?yàn)榕c巴基斯坦有關(guān),,是國家支持的威脅行為組織。
作為代號為“盔甲穿孔機(jī)”( Armor Piercer)的新型網(wǎng)絡(luò)攻擊行動的一部分,,研究人員觀察到攻擊者使用了已攻陷網(wǎng)站和假域名作為有效載荷托管,,這是一種已經(jīng)與APT36相關(guān)聯(lián)的策略。
攻擊者以O(shè)ffice文件和歸檔文件的形式向他們選定的目標(biāo)受害者投遞各種誘餌,,主要偽裝成與印度政府建筑有關(guān)的指南和文件,,包括Kavach(印度語“盔甲”)。
作為這些攻擊的一部分,,攻擊者還使用服務(wù)器端腳本發(fā)送惡意電子郵件,并使用web shell在受感染的網(wǎng)站上保持隱蔽存在,。
在這些攻擊中使用的商用RAT木馬為攻擊者提供了對目標(biāo)系統(tǒng)的全面控制,,還可以用于在淪陷網(wǎng)絡(luò)上部署額外的有效負(fù)載。
該活動似乎自2020年12月以來一直在進(jìn)行,,使用攜帶惡意VBA宏的Microsoft Office文檔,,旨在獲取和執(zhí)行惡意加載程序。最后的有效載荷通常是RAT,。
在2021年3月和4月之間,下載者被用來獲取和運(yùn)行RAT有效負(fù)載,在2021年5月,,使用了一個(gè)使用誘餌URL的基于c#的下載者,,而在6月,Pastebin被用來承載有效負(fù)載,。在整個(gè)活動中,,經(jīng)過修改的開源項(xiàng)目被用來加載基于,。net的木馬二進(jìn)制文件,然后再加載RAT遠(yuǎn)控木馬,。
除了Netwire和AveMaria RAT系列之外,,對手還在被攻陷的系統(tǒng)上部署了基于。 net的自定義文件枚舉器模塊,。
Netwire RAT允許攻擊者從瀏覽器竊取憑證,、運(yùn)行命令、獲取系統(tǒng)信息,、操作文件,、枚舉和終止進(jìn)程,以及執(zhí)行鍵盤記錄,。
AveMaria具有遠(yuǎn)程桌面功能,,還可以從網(wǎng)絡(luò)攝像頭捕捉圖像,從瀏覽器和電子郵件應(yīng)用程序竊取憑證,,操作文件,,執(zhí)行命令,記錄按鍵,,枚舉和終止進(jìn)程,,并部署反向shell。
Talos安全研究人員稱,,使用這些RAT木馬對攻擊者有雙重好處——它使歸因變得困難,,并節(jié)省了開發(fā)定制植入程序的成本。然而,,從2021年7月開始,,他們觀察到文件枚舉器與RAT木馬一起部署。這表明攻擊者正在擴(kuò)大他們的惡意軟件庫,,把目標(biāo)對準(zhǔn)他們的受害者:印度的軍方和政府人員,。