Operação Sidecopy visa as forças de defesa na Índia
Um grupo APT foi identificado como alvo das forças de defesa da Índia e do pessoal das forças armadas sob uma campanha apelidada de Operação Sidecopy desde o início de 2019. Este grupo APT esteve ligado a várias campanhas e ataques no ano passado.
O que foi descoberto?
Recentemente, os pesquisadores do Seqrite descobriram que os atores da ameaça confundiam os pesquisadores de segurança ao copiar os TTPs geralmente implementados pelo grupo Sidewinder APT.
- Os atores da ameaça têm desenvolvido e atualizado constantemente os módulos de malware e implantado as versões atualizadas após analisar o reconhecimento dos dados e do ambiente da vítima.
- Suspeita-se que o grupo APT por trás da campanha da Operação Sidecopy tenha conexões potenciais com o grupo Transparent Tribe baseado no Paquistão.
Como eles funcionam?
- Começando com e-mails de phishing, os invasores usam um ataque de injeção de modelo e vulnerabilidade do editor de equação (CVE-2017-11882) como vetor de infecção inicial.
- Os invasores também usam um módulo de backdoor, truques de exfiltração de dados e a técnica de sideload de DLL por meio do kit de ferramentas CactusTorch e outras ferramentas legítimas (dnSpy, MSHTA e Credwiz).
Por que Transparent Tribe é um suspeito?
Um dos traços característicos que Seqrite acredita poder ser rastreado até a Tribo Transparente do Paquistão (também conhecida como APT36) é o servidor remoto que o coletivo usa.
- A APT esteve envolvida em operações de coleta de inteligência contra o governo indiano e militares, recentemente.
- Em agosto , o grupo foi observado como alvo de organizações governamentais e militares na Índia e no Afeganistão, infectando dispositivos USB.
- Em julho, Transparent Tribe estava usando técnicas de captura de mel para atrair suas vítimas em organizações de defesa e outras organizações governamentais na Índia.
O que fazer?
Ataques à defesa e às forças armadas podem levar ao risco de perda de informações confidenciais que podem ser uma ferramenta crítica durante qualquer conflito regional. Os especialistas recomendam que as autoridades governamentais tomem medidas preventivas obrigatórias e antecipadas, como os sistemas automatizados de detecção / prevenção de intrusão (IDS / IPS).
Fonte: https://cyware.com/news/operation-sidecopy-targets-defense-forces-in-india-211170f6