SideCopy APT: эволюция атак на критическую инфраструктуру

Связанная с Пакистаном хакерская группа SideCopy APT продемонстрировала значительную эволюцию в своих методах проведения атак с конца декабря 2024 года. Ранее сосредоточившись на таких секторах, как правительство Индии, оборона и образование, группа расширила сферу своей деятельности, включив в себя важнейшие сектора инфраструктуры, такие как железные дороги, нефть и газ, а также внешние связи.

Новый подход к атакам

Ключевое изменение в тактике SideCopy связано с переходом от файлов HTML-приложений (HTA) к использованию пакетов Microsoft Installer (MSI) в качестве основного механизма развертывания своего вредоносного ПО. Этот сдвиг подчеркивает постоянные усилия группы по предотвращению обнаружения с использованием передовых методов, таких как:

• боковая загрузка DLL,
• отражающая загрузка.

Новые вредоносные разработки

В число новых вредоносных программ, выявленных в ходе недавних кампаний, входит CurlBack RAT, которая использует методы сторонней загрузки библиотек DLL и регистрирует жертв на сервере управления (C2). Эта вредоносная программа:

• собирает системную информацию,
• управляет сохранением данных через создание разделов реестра,
• использует cURL для связи и передачи файлов.

Такой многогранный подход позволяет осуществлять фильтрацию данных и удалённый доступ к системам.

Фишинг как ключевой метод

Фишинг остается основным направлением деятельности SideCopy. Недавние фишинговые кампании включали тщательно подготовленные электронные письма, якобы от надежных правительственных источников. Эти письма заманивали жертв с помощью вложений, которые казались законными, в итоге приводя к активации вредоносного ПО. Например, использовались имена файлов, имитирующие документы, относящиеся к Национальному колледжу обороны, и расписания отпусков для железнодорожного персонала.

В цепочках эксплойтов часто задействовались файлы с двойным расширением, предназначенные для обмана пользователей. Эти файлы содержали вредоносные скрипты, которые запускались при открытии.

Тактическая изощренность и безопасность операций

Хакеры использовали скомпрометированные домены, включая поддельный каталог служб электронного управления, для размещения вредоносных программ и фишинговых страниц с учетными данными. Это подтверждает их зависимость от тактики социальной инженерии. Домены, используемые в таких кампаниях, в основном регистрируются через авторитетные сервисы, например, GoDaddy, и часто связаны с инфраструктурой Cloudflare, что демонстрирует стратегическую изощренность их методов безопасности и обфускации.

Кросс-платформенные возможности

Кроме того, способность SideCopy работать как с системами Windows, так и с Linux демонстрирует их универсальность и стремление скомпрометировать широкий спектр сред. Использование полезных приложений на базе Golang, таких как Spark RAT для Linux-систем, указывает на целенаправленный переход к кросс-платформенным возможностям, что значительно расширяет область их применения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.