Pakistanische Hacker erweitern Angriffe auf Indien mit CurlBack RAT

NEU-DELHI / MÜNCHEN (IT BOLTWISE) – Eine Hackergruppe mit Verbindungen zu Pakistan hat ihre Angriffe auf verschiedene Sektoren in Indien ausgeweitet. Dabei setzen sie auf eine Reihe von Remote-Access-Trojanern (RATs), darunter Xeno RAT, Spark RAT und die neu entdeckte CurlBack RAT.

Die jüngsten Aktivitäten der Hackergruppe, die von SEQRITE im Dezember 2024 entdeckt wurden, richten sich gegen indische Einrichtungen in den Bereichen Eisenbahn, Öl und Gas sowie Außenministerium. Dies markiert eine Erweiterung des Zielspektrums der Gruppe, die zuvor hauptsächlich Regierungs-, Verteidigungs-, maritime Sektoren und Universitäten ins Visier genommen hatte.

Ein bemerkenswerter Wandel in den jüngsten Kampagnen ist der Übergang von der Nutzung von HTML-Anwendungsdateien (HTA) zu Microsoft Installer (MSI)-Paketen als primärem Bereitstellungsmechanismus. Sicherheitsforscher Sathwik Ram Prakki hebt hervor, dass SideCopy, ein vermuteter Untercluster innerhalb von Transparent Tribe (auch bekannt als APT36), seit mindestens 2019 aktiv ist. Der Name leitet sich von der Nachahmung der Angriffsketten eines anderen Bedrohungsakteurs namens SideWinder ab, um eigene Nutzlasten zu liefern.

Im Juni 2024 hob SEQRITE die Verwendung von verschleierten HTA-Dateien durch SideCopy hervor, die Techniken nutzten, die zuvor in SideWinder-Angriffen beobachtet wurden. Diese Dateien enthielten auch Verweise auf URLs, die RTF-Dateien hosteten, die als von SideWinder verwendet identifiziert wurden. Die Angriffe führten zur Bereitstellung von Action RAT und ReverseRAT, zwei bekannten Malware-Familien, die SideCopy zugeschrieben werden, sowie mehreren anderen Nutzlasten, darunter Cheex zum Stehlen von Dokumenten und Bildern, ein USB-Kopierer zum Abziehen von Daten von angeschlossenen Laufwerken und ein .NET-basierter Geta RAT, der in der Lage ist, 30 Befehle von einem Remote-Server auszuführen.

Die jüngsten Erkenntnisse zeigen eine fortschreitende Reifung der Hackergruppe, die sich weiterentwickelt und E-Mail-basierte Phishing-Angriffe als Verteilungsvektor für Malware nutzt. Diese E-Mails enthalten verschiedene Arten von Lockdokumenten, die von Feiertagslisten für Eisenbahnpersonal bis hin zu Cybersecurity-Richtlinien reichen, die von einem öffentlichen Unternehmen namens Hindustan Petroleum Corporation Limited (HPCL) herausgegeben wurden.

Ein besonders bemerkenswerter Aktivitätscluster ist in der Lage, sowohl Windows- als auch Linux-Systeme anzugreifen, was letztlich zur Bereitstellung eines plattformübergreifenden Remote-Access-Trojaners namens Spark RAT und einer neuen Windows-basierten Malware namens CurlBack RAT führt. Diese kann Systeminformationen sammeln, Dateien vom Host herunterladen, beliebige Befehle ausführen, Privilegien erhöhen und Benutzerkonten auflisten.

Ein zweiter Cluster wurde beobachtet, der die Lockdateien als Mittel zur Einleitung eines mehrstufigen Infektionsprozesses verwendet, der eine angepasste Version von Xeno RAT ablegt, die grundlegende String-Manipulationsmethoden enthält. Die Gruppe hat sich von der Verwendung von HTA-Dateien zu MSI-Paketen als primärem Bereitstellungsmechanismus verlagert und setzt weiterhin fortschrittliche Techniken wie DLL-Sideloading, reflektierendes Laden und AES-Entschlüsselung über PowerShell ein.

Zusätzlich nutzen sie angepasste Open-Source-Tools wie Xeno RAT und Spark RAT und setzen die neu identifizierte CurlBack RAT ein. Kompromittierte Domains und gefälschte Websites werden für Credential-Phishing und das Hosting von Nutzlasten genutzt, was die anhaltenden Bemühungen der Gruppe zur Verbesserung der Persistenz und zur Umgehung der Erkennung unterstreicht.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!