与巴基斯坦有关的黑客使用 ReverseRat 攻击印度电力公司

一项新研究显示,一名疑似与巴基斯坦有联系的威胁行为者一直在打击南亚和中亚地区的政府和能源组织,以在受损的 Windows 系统上部署远程访问木马。

“大部分表现出妥协的迹象组织在印度,以及少数在阿富汗,”流明的黑莲花实验室说,在周二的分析。“可能受到损害的受害者与政府和电力公司的垂直行业保持一致。”

部分受害者包括外国政府组织、输电组织和发电输电组织。据说秘密行动至少在 2021 年 1 月开始。

入侵之所以引人注目有多种原因,尤其是因为除了其高度针对性之外,对手采用的策略、技术和程序 (TTP) 依赖于重新利用的开源代码以及在与托管恶意文件的目标实体所在的国家/地区相同。

与此同时,该组织通过修改注册表项来小心地隐藏他们的活动,使他们能够在不引起注意的情况下秘密地在目标设备上保持持久性。

在解释多步骤感染链时,Lumen 指出,该活动“导致受害者下载了两个代理;一个驻留在内存中,而第二个则是旁加载,从而使威胁行为者能够在受感染的工作站上持久存在。”

与巴基斯坦有关的黑客使用 ReverseRat 攻击印度电力公司

攻击始于通过网络钓鱼电子邮件或消息发送的恶意链接,单击该链接后,会从受感染域下载包含 Microsoft 快捷方式文件 (.lnk) 和诱饵 PDF 文件的 ZIP 存档文件。

快捷方式文件除了向毫无戒心的收件人显示良性文档外,还负责从同一个受感染网站悄悄获取和运行 HTA(HTML 应用程序)文件。

诱饵文件主要描述了迎合印度的活动,伪装成通过CoWIN在线门户注册和预约 COVID-19 疫苗的用户手册,而其他一些则伪装成孟买工兵团,一个团印度军队。

无论显示给受害者的 PDF 文档如何,HTA 文件(本身是基于名为CactusTorch的 GitHub 项目的 JavaScript 代码)被用来将 32 位 shellcode 注入正在运行的进程中,最终安装一个名为 ReverseRat 的 .NET 后门,该后门运行典型的间谍软件范围,具有捕获屏幕截图、终止进程、执行任意可执行文件、执行文件操作以及将数据上传到远程服务器的功能。

定制开发的框架还带有第三个组件,其中从同一域下载第二个 HTA 文件以部署开源AllaKore远程代理,这可能是维持对受感染网络的访问的另一种尝试。

研究人员说:“虽然迄今为止,这个威胁行为者的目标仍停留在南亚和中亚地区,但事实证明,他们可以有效地访问感兴趣的网络。” “尽管之前依赖于 AllaKore 等开源框架,但随着 Svchostt 代理和 ReverseRat 项目其他组件的开发,该攻击者能够保持有效并扩展其能力。”