Pakistanische Hacker weiten Angriffe auf Indien mit CurlBack RAT aus

MÜNCHEN (IT BOLTWISE) – Eine Hackergruppe mit Verbindungen zu Pakistan hat ihre Angriffe auf verschiedene Sektoren in Indien ausgeweitet. Dabei kommen neue Schadsoftware-Varianten wie der CurlBack RAT und der Spark RAT zum Einsatz.

In den letzten Monaten hat eine Hackergruppe, die mit Pakistan in Verbindung gebracht wird, ihre Aktivitäten in Indien intensiviert. Die Gruppe, die als SideCopy bekannt ist, hat sich auf die Infiltration von Sektoren wie Eisenbahn, Öl und Gas sowie Außenministerien spezialisiert. Diese Entwicklung markiert eine Erweiterung ihres bisherigen Fokus, der sich vor allem auf Regierungs-, Verteidigungs- und maritime Sektoren sowie Universitäten konzentrierte.

Ein bemerkenswerter Wandel in den jüngsten Kampagnen ist der Übergang von der Nutzung von HTML-Anwendungsdateien (HTA) zu Microsoft Installer (MSI)-Paketen als primärem Bereitstellungsmechanismus. Diese Änderung zeigt die Anpassungsfähigkeit und das technische Know-how der Gruppe, die als Subcluster innerhalb der Transparent Tribe (auch bekannt als APT36) agiert. Diese Gruppe ist seit mindestens 2019 aktiv und bekannt dafür, Angriffsketten anderer Bedrohungsakteure zu imitieren, um ihre eigenen Schadprogramme zu verbreiten.

Im Juni 2024 berichtete SEQRITE über die Verwendung von verschleierten HTA-Dateien durch SideCopy, die Techniken nutzten, die zuvor in SideWinder-Angriffen beobachtet wurden. Diese Dateien enthielten auch Verweise auf URLs, die RTF-Dateien hosteten, die von SideWinder verwendet wurden. Die Angriffe führten zur Bereitstellung von Action RAT und ReverseRAT, zwei bekannten Malware-Familien, die SideCopy zugeschrieben werden, sowie weiteren Nutzlasten wie Cheex, um Dokumente und Bilder zu stehlen, und einem USB-Kopierer, um Daten von angeschlossenen Laufwerken zu extrahieren.

Die neuesten Erkenntnisse zeigen eine fortschreitende Reifung der Hackergruppe, die E-Mail-basierte Phishing-Angriffe als Verteilungsvektor für ihre Malware nutzt. Diese E-Mails enthalten verschiedene Arten von Lockdokumenten, die von Feiertagslisten für Eisenbahnpersonal bis hin zu Cybersecurity-Richtlinien reichen, die von einem öffentlichen Unternehmen namens Hindustan Petroleum Corporation Limited (HPCL) herausgegeben wurden. Eine Aktivitätsgruppe ist besonders bemerkenswert, da sie sowohl Windows- als auch Linux-Systeme ins Visier nimmt und letztendlich zur Bereitstellung eines plattformübergreifenden Remote-Access-Trojaners namens Spark RAT führt.

Ein zweiter Aktivitätscluster wurde beobachtet, der die Lockdateien als Mittel zur Einleitung eines mehrstufigen Infektionsprozesses nutzt, der eine angepasste Version von Xeno RAT ablegt. Diese Version integriert grundlegende Methoden zur Zeichenmanipulation. Die Gruppe hat sich von der Verwendung von HTA-Dateien zu MSI-Paketen als primärem Bereitstellungsmechanismus verlagert und setzt weiterhin fortschrittliche Techniken wie DLL-Sideloading, reflektierendes Laden und AES-Entschlüsselung über PowerShell ein.

Zusätzlich nutzen sie angepasste Open-Source-Tools wie Xeno RAT und Spark RAT und setzen den neu identifizierten CurlBack RAT ein. Kompromittierte Domains und gefälschte Websites werden für Credential-Phishing und das Hosting von Nutzlasten verwendet, was die anhaltenden Bemühungen der Gruppe unterstreicht, die Persistenz zu erhöhen und der Erkennung zu entgehen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!