Categorie
Tech

I pakistani SideCopy collegati a un nuovo cyberattacco al Ministero della Difesa indiano

Tempo di lettura: 2 minuti. Un gruppo APT con un passato di attacchi all’India e all’Afghanistan è stato collegato a una nuova campagna di phishing che veicola l’Action RAT

Tempo di lettura: 2 minuti.

Un Advanced Persistent Threat (APT) gruppo noto per aver preso di mira l’India e l’Afghanistan è stato collegato a una nuova campagna di phishing che veicola l’Action RAT. Secondo Cyble, l’operazione è stata attribuita a SideCopy, un gruppo di minacce di origine pakistana che condivide somiglianze con Transparent Tribe e che è attivo dal 2019.

Modalità di attacco e obiettivi

Gli attacchi messi in atto dal gruppo utilizzano email di spear-phishing per ottenere un accesso iniziale. Questi messaggi contengono un file di archivio ZIP che include un file di collegamento di Windows (.LNK) mascherato come informazioni sul missile balistico K-4 sviluppato dal DRDO (Defence Research and Development Organization), l’ala di ricerca e sviluppo del Ministero della Difesa indiano. L’esecuzione del file .LNK porta al recupero di un’applicazione HTML da un server remoto, che a sua volta mostra una presentazione fasulla, mentre distribuisce in modo furtivo il backdoor Action RAT.

Capacità del malware e nuovi strumenti

Il malware, oltre a raccogliere informazioni sulla macchina della vittima, è in grado di eseguire comandi inviati da un server di comando e controllo (C2), inclusi il recupero di file e il rilascio di ulteriori malware. Viene anche implementato un nuovo malware di furto di informazioni chiamato AuTo Stealer, in grado di raccogliere ed esfiltrare file di Microsoft Office, documenti PDF, file di database e di testo, e immagini tramite HTTP o TCP. “Il gruppo APT evolve continuamente le sue tecniche e integra nuovi strumenti nel suo arsenale”, ha osservato Cyble.

Precedenti attacchi e sviluppi recenti

Non è la prima volta che SideCopy impiega Action RAT nei suoi attacchi diretti all’India. Nel dicembre 2021, Malwarebytes ha rivelato una serie di intrusioni che hanno violato diversi ministeri in Afghanistan e un computer governativo condiviso in India per rubare credenziali sensibili. Le ultime scoperte arrivano un mese dopo che il gruppo avversario è stato individuato mentre prendeva di mira agenzie governative indiane con un trojan per l’accesso remoto chiamato ReverseRAT.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version