Los ataques de malware vinculados a Pakistán evolucionan para apuntar a Windows, Android y macOS


13 de junio de 2024Sala de redacción Inteligencia sobre amenazas/ataque cibernético

Se sabe que los actores de amenazas vinculados a Pakistán están involucrados en una campaña de ataque de malware de larga duración llamada Operación Fuerza Celestial desde al menos 2018.

Según Cisco Talos, esta campaña en curso utiliza malware de Android llamado GravityRAT y un cargador de malware basado en Windows con nombre en código HeavyLift, que utiliza una herramienta independiente llamada GravityAdmin que se dice que está siendo administrada.

La empresa de ciberseguridad atribuyó la intrusión a un adversario al que rastrea con el nombre de Cosmic Leopard (también conocido como SpaceCobra), que, según dice, tiene cierta superposición táctica con Transparent Tribe.

“La Operación Fuerza Celestial ha estado activa desde al menos 2018 y continúa operando hoy, aprovechando un paquete de malware cada vez más expandido y en evolución, ya que esta operación apunta a usuarios en el subcontinente indio. “Esto sugiere que es probable que tenga bastante éxito”, seguridad. dijeron los investigadores Ashir Malhotra y Vitor Ventura en un informe técnico compartido con Hacker News.

GravityRAT se descubrió por primera vez en 2018 como malware de Windows dirigido a organizaciones en la India a través de correos electrónicos de phishing. Este malware cuenta con un conjunto de funciones en constante evolución para recopilar información confidencial de hosts comprometidos. Desde entonces, el malware ha sido adaptado para funcionar en los sistemas operativos Android y macOS, lo que lo convierte en una herramienta multiplataforma.

El año pasado, los hallazgos de Meta y ESET revelaron que la versión de Android de GravityRAT se está utilizando continuamente para atacar al personal de las Fuerzas Aéreas de India y Pakistán bajo la apariencia de una aplicación de chat, entretenimiento y almacenamiento en la nube.

Los hallazgos de Cisco Talos reúnen todas estas actividades diferentes pero relacionadas bajo un paraguas común, basándose en la evidencia de que los actores de amenazas están utilizando GravityAdmin para orquestar estos ataques.

Cosmic Leopard se basa principalmente en phishing e ingeniería social para generar confianza con objetivos potenciales, enviarles enlaces a sitios maliciosos y ejecutar GravityRAT o GravityRAT según el sistema operativo utilizado. Se ha observado que le indica que descargue un programa aparentemente inofensivo que se cae. Carga pesada.

Según se informa, GravityRAT ya estaba en uso en 2016. GravityAdmin, por otro lado, es un binario que se utiliza desde al menos agosto de 2021 para establecer conexiones con los servidores de comando y control (C2) GravityRAT y HeavyLift para hacerse cargo de los sistemas infectados.

“GravityAdmin consta de múltiples interfaces de usuario (UI) integradas que corresponden a campañas específicas con nombres en código ejecutadas por operadores maliciosos”, señalan los investigadores. “Por ejemplo, ‘FOXTROT’, ‘CLOUDINFINITY’ y ‘CHATICO’ son los nombres dados a todas las infecciones GravityRAT basadas en Android, mientras que ‘CRAFTWITHME’, ‘SEXYBER’ y ‘CVSCOUT’ son los nombres dados a los ataques que implementan HeavyLift. ¿Es el nombre. “

Un componente recientemente descubierto en el arsenal del actor de amenazas es HeavyLift, una familia de cargadores de malware basados ​​en Electron distribuidos a través de instaladores maliciosos dirigidos a sistemas operativos Windows. Esto también es similar a la versión Electron de GravityRAT documentada previamente por Kaspersky en 2020.

Una vez lanzado, el malware recopila metadatos del sistema y los exporta a un servidor C2 codificado, que luego sondea periódicamente en busca de nuevas cargas útiles para ejecutar en el sistema. Además, está diseñado para realizar funciones similares en macOS.

“Esta operación de varios años continuó teniendo como objetivo entidades e individuos indios que se cree que están en los sectores de defensa, gobierno y tecnología relacionada”, dijeron los investigadores.

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/06/pakistan-linked-malware-campaign.html