10 ноября 2024 г. 20:59
893
0
Индия оказалась под атакой киберугроз, инициированных хакерскими группировками Transparent Tribe и IcePeony, которые действуют из Пакистана и Китая.
Эти кибератаки направлены на важные правительственные учреждения и организации.
Группа Transparent Tribe применяет вредоносное ПО ElizaRAT и новый инструмент ApoloStealer. В недавнем отчёте компании Check Point говорится о том, что ElizaRAT активно использует популярные облачные сервисы, такие как Telegram, Google Drive и Slack, для скрытого управления и передачи данных. Эта группировка, известная также под названиями APT36 и Datebug, осуществляет свою деятельность с 2013 года и нацелена на системы, работающие на Windows, Android и Linux.
ElizaRAT был впервые замечен в июле 2023 года при атаках на индийские госструктуры. С прошлого года атаки нацелены и на Linux-устройства из-за внедрения индийским правительством ОС Maya, созданной на основе Ubuntu. Вредоносные цепочки распространяются через файлы панели управления (CPL), вероятно, с помощью фишинга. С декабря 2023 по август 2024 года было зафиксировано три кампании с использованием виртуальных серверов и облачных сервисов для управления.
Новый инструмент ApoloStealer собирает и отправляет на удалённый сервер файлы различных форматов (DOC, XLS, ZIP и др.). В январе 2024 года Transparent Tribe также добавила компонент-дроппер, обеспечивающий работу ElizaRAT, и модуль ConnectX, который ищет файлы на внешних устройствах.
IcePeony, ранее неизвестная группа, по данным компании nao_sec, также нацелена на госучреждения и университеты в Индии, Маврикии и Вьетнаме. Атаки начинаются с SQL-инъекций и разворачиваются до установки веб-оболочек и бэкдоров. Основная цель — похищение учётных данных.
В арсенале IcePeony — инструмент IceCache, разработанный для взлома Microsoft IIS-серверов, и бэкдор IceEvent, способный загружать и скачивать файлы, а также выполнять команды. Примечательно, что эти киберпреступники работают почти шесть дней в неделю, избегая активности по пятницам и субботам, что указывает на их организованность и профессиональный характер атак.
Таким образом, Индия оказалась на перепутье изощрённых кибератак, где облачные сервисы становятся оружием шпионажа. В новых реалиях кибербезопасность становится не просто превентивной мерой, а необходимым условием для защиты критической инфраструктуры.