تم ربط مجموعة متقدمة من التهديدات المستمرة (APT) التي لديها سجل حافل في استهداف الهند وأفغانستان بحملة تصيد احتيالية جديدة تقدم Action RAT.
وفقًا لـ Cyble ، الذي عزا العملية إلى SideCopy ، تم تصميم مجموعة الأنشطة لاستهداف منظمة البحث والتطوير الدفاعية ( DRDO ) ، وهي جناح البحث والتطوير في وزارة الدفاع الهندية.
تشتهر SideCopy بمحاكاة سلاسل العدوى المرتبطة بـ SideWinder لتقديم البرامج الضارة الخاصة بها ، وهي مجموعة تهديد من أصل باكستاني تشترك في التداخل مع Transparent Tribe . لقد كان نشطًا منذ عام 2019 على الأقل.
تتضمن سلاسل الهجوم التي شنتها المجموعة استخدام رسائل التصيد الاحتيالي للحصول على وصول مبدئي. تأتي هذه الرسائل تحمل ملف أرشيف مضغوط يحتوي على ملف اختصار Windows (.LNK) يتنكر كمعلومات حول الصاروخ الباليستي K-4 الذي طوره DRDO.
يؤدي تنفيذ ملف .LNK إلى استرداد تطبيق HTML من خادم بعيد ، والذي بدوره يعرض عرضًا للخداع ، بينما ينشر أيضًا باب خلفي Action RAT خلسة.
البرنامج الضار ، بالإضافة إلى جمع المعلومات حول الجهاز الضحية ، قادر على تشغيل الأوامر المرسلة من خادم القيادة والتحكم (C2) ، بما في ذلك حصاد الملفات وإسقاط البرامج الضارة للمتابعة.
تم أيضًا نشر برنامج ضار جديد لسرقة المعلومات يُشار إليه باسم AuTo Stealer وهو مجهز لجمع ملفات Microsoft Office ووثائق PDF وقاعدة البيانات والملفات النصية والصور عبر HTTP أو TCP.
وأشار سايبل إلى أن "مجموعة APT تعمل باستمرار على تطوير تقنياتها مع دمج أدوات جديدة في ترسانتها".
هذه ليست المرة الأولى التي تستخدم فيها SideCopy Action RAT في هجماتها الموجهة ضد الهند. في كانون الأول (ديسمبر) 2021 ، كشفت شركة Malwarebytes عن مجموعة من الاختراقات التي انتهكت عددًا من الوزارات في أفغانستان وحاسوبًا حكوميًا مشتركًا في الهند لسرقة بيانات اعتماد حساسة.
وصلت أحدث النتائج بعد شهر من رصد طاقم الخصومة وهم يستهدفون الوكالات الحكومية الهندية بوصول طروادة عن بعد يطلق عليه اسم ReverseRAT.