Пакистанские Хакеры Тоже Следят за Трендами: SideCopy Переходит на Модный MSI

2025-04-15 12:02

Сначала HTA, теперь MSI... Скоро начнут заворачивать малварь в Docker-контейнеры для удобства развертывания ?

Исследование Seqrite Labs раскрывает значительную эволюцию пакистанской группировки SideCopy APT. Цели расширены: к традиционным госсектору и обороне Индии добавились железные дороги, нефтегаз и МИД. Ключевое изменение в TTPs – отказ от HTA-файлов в пользу MSI-пакетов как основного средства доставки начальной нагрузки. Эта трансформация сопровождается активным использованием DLL side-loading, мультиплатформенных атак и адаптацией опенсорсных RAT.

Доставка начинается с фишинговых писем, часто имитирующих официальную переписку (например, списки отпусков для ж/д, гайдлайны по кибербезу от HPCL). Используются скомпрометированные email-адреса или адреса, мимикрирующие под легитимные (gsosystems-ndc@outlook[.]com vs gsosystems.ndc-mod@nic[.]in). Ссылки в письмах ведут к загрузке архивов, содержащих LNK-файлы с двойным расширением (.pdf.lnk). Эти ярлыки запускают cmd.exe с обфусцированными командами (используя ^), которые через msiexec.exe /q /i скачивают и устанавливают MSI-пакеты. Примечательно, что для хостинга MSI используются как поддельные домены (egovservice[.]in), так и скомпрометированные легитимные правительственные ресурсы (например, nhp[.]mowr[.]gov[.]in – сайт National Hydrology Project).

MSI-пакеты содержат .NET-дроппер (например, ConsoleApp1.exe), который извлекает и размещает несколько файлов (часто в C:ProgramDataLavaSoft). Среди них – легитимная DLL (Sampeose.dll), вредоносная DLL (CurlBack RAT, например, DUI70.dll) и подписанный легитимный исполняемый файл (girbesre.exe, ориг. CameraSettingsUIHost.exe), который и загружает вредоносную DLL через DLL side-loading. Для закрепления используется HTA-скрипт (svnides.hta), прописывающий автозапуск через Run key или Scheduled Task (имя OneDrive). CurlBack RAT перед основной активностью проверяет ответ от C2 по URL /antivmcommand, собирает информацию о системе и USB-устройствах (SYSTEMControlSet001EnumUSBSTOR), генерирует уникальный UUID для регистрации на C2 (/retsiger/), сохраняет его в .client_id.txt и поддерживает связь (/taebtraeh/, /sdnammoc/) для получения команд (info, download, run, permission, cmd и др.) и отправки результатов (/stluser/). Для передачи файлов использует curl.

Параллельно с атаками на Windows, SideCopy атакует и Linux. Используется Go-based ELF бинарный файл-стейджер (схожий со стейджерами Poseidon и Ares RAT), который скачивает через wget и запускает финальную нагрузку – кастомизированную версию Spark RAT. Spark RAT – опенсорсный кроссплатформенный RAT на Go, использующий WebSocket/HTTP для связи с C2. Он обеспечивает широкий функционал: управление процессами, файлами, мониторинг сети, удаленный терминал и т.д. Стейджер также обеспечивает персистентность через crontab.

В других кластерах атак (Cluster-B) SideCopy все еще использует связку LNK -> HTA. HTA-файл содержит Base64-кодированный .NET-загрузчик (BroaderAspect.dll), который загружается в память mshta.exe. Этот загрузчик извлекает из ресурсов (Myapp.pdb) PDF-файл, к которому в конце (после маркера `%%EOF`) прикреплен зашифрованный исполняемый файл (suport.exe). Данные расшифровываются через PowerShell с использованием AES (ключ передается как параметр -EKey), и финальная полезная нагрузка – кастомная версия Xeno RAT (DevApp.exe) – загружается в память рефлексивно. Этот вариант Xeno RAT (C# опенсорс) модифицирован для кражи данных браузеров и использует C2 79.141.161[.]58:1256.

Инфраструктура атак включает не только скомпрометированные сайты, но и целую сеть фишинговых поддоменов на фейковом домене egovservice[.]in, имитирующих госсервисы (веб-почта, управление ЗП и т.д.) для кражи учетных данных, особенно в штате Махараштра. C2-серверы часто размещаются за Cloudflare, используя те же ASN, что и в предыдущих кампаниях группы.

Атакуют и Linux через Go-стейджер... Прощайте, времена, когда Linux считался "безопасным по умолчанию". Теперь везде нужен EDR

Источник: vk.com



		Пакистанские Хакеры Тоже Следят за Трендами: SideCopy Переходит на Модный MSI
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Разработка ИИ Атаки на ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовый компьютер Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2025-04-15 12:02 киберугрозы Сначала HTA, теперь MSI... Скоро начнут заворачивать малварь в Docker-контейнеры для удобства развертывания ? Исследование Seqrite Labs раскрывает значительную эволюцию пакистанской группировки SideCopy APT. Цели расширены: к традиционным госсектору и обороне Индии добавились железные дороги, нефтегаз и МИД. Ключевое изменение в TTPs – отказ от HTA-файлов в пользу MSI-пакетов как основного средства доставки начальной нагрузки. Эта трансформация сопровождается активным использованием DLL side-loading, мультиплатформенных атак и адаптацией опенсорсных RAT. Доставка начинается с фишинговых писем, часто имитирующих официальную переписку (например, списки отпусков для ж/д, гайдлайны по кибербезу от HPCL). Используются скомпрометированные email-адреса или адреса, мимикрирующие под легитимные (gsosystems-ndc@outlook[.]com vs gsosystems.ndc-mod@nic[.]in). Ссылки в письмах ведут к загрузке архивов, содержащих LNK-файлы с двойным расширением (.pdf.lnk). Эти ярлыки запускают cmd.exe с обфусцированными командами (используя ^), которые через msiexec.exe /q /i скачивают и устанавливают MSI-пакеты. Примечательно, что для хостинга MSI используются как поддельные домены (egovservice[.]in), так и скомпрометированные легитимные правительственные ресурсы (например, nhp[.]mowr[.]gov[.]in – сайт National Hydrology Project). MSI-пакеты содержат .NET-дроппер (например, ConsoleApp1.exe), который извлекает и размещает несколько файлов (часто в C:ProgramDataLavaSoft). Среди них – легитимная DLL (Sampeose.dll), вредоносная DLL (CurlBack RAT, например, DUI70.dll) и подписанный легитимный исполняемый файл (girbesre.exe, ориг. CameraSettingsUIHost.exe), который и загружает вредоносную DLL через DLL side-loading. Для закрепления используется HTA-скрипт (svnides.hta), прописывающий автозапуск через Run key или Scheduled Task (имя OneDrive). CurlBack RAT перед основной активностью проверяет ответ от C2 по URL /antivmcommand, собирает информацию о системе и USB-устройствах (SYSTEMControlSet001EnumUSBSTOR), генерирует уникальный UUID для регистрации на C2 (/retsiger/), сохраняет его в .client_id.txt и поддерживает связь (/taebtraeh/, /sdnammoc/) для получения команд (info, download, run, permission, cmd и др.) и отправки результатов (/stluser/). Для передачи файлов использует curl. Параллельно с атаками на Windows, SideCopy атакует и Linux. Используется Go-based ELF бинарный файл-стейджер (схожий со стейджерами Poseidon и Ares RAT), который скачивает через wget и запускает финальную нагрузку – кастомизированную версию Spark RAT. Spark RAT – опенсорсный кроссплатформенный RAT на Go, использующий WebSocket/HTTP для связи с C2. Он обеспечивает широкий функционал: управление процессами, файлами, мониторинг сети, удаленный терминал и т.д. Стейджер также обеспечивает персистентность через crontab. В других кластерах атак (Cluster-B) SideCopy все еще использует связку LNK -> HTA. HTA-файл содержит Base64-кодированный .NET-загрузчик (BroaderAspect.dll), который загружается в память mshta.exe. Этот загрузчик извлекает из ресурсов (Myapp.pdb) PDF-файл, к которому в конце (после маркера `%%EOF`) прикреплен зашифрованный исполняемый файл (suport.exe). Данные расшифровываются через PowerShell с использованием AES (ключ передается как параметр -EKey), и финальная полезная нагрузка – кастомная версия Xeno RAT (DevApp.exe) – загружается в память рефлексивно. Этот вариант Xeno RAT (C# опенсорс) модифицирован для кражи данных браузеров и использует C2 79.141.161[.]58:1256. Инфраструктура атак включает не только скомпрометированные сайты, но и целую сеть фишинговых поддоменов на фейковом домене egovservice[.]in, имитирующих госсервисы (веб-почта, управление ЗП и т.д.) для кражи учетных данных, особенно в штате Махараштра. C2-серверы часто размещаются за Cloudflare, используя те же ASN, что и в предыдущих кампаниях группы. Атакуют и Linux через Go-стейджер... Прощайте, времена, когда Linux считался "безопасным по умолчанию". Теперь везде нужен EDR Источник: vk.com Комментарии:

Пакистанские Хакеры Тоже Следят за Трендами: SideCopy Переходит на Модный MSI

Комментарии: