Вероятно действащ от Индия колектив разчита на различни облачни услуги, за да извършва кибератаки срещу енергийни, отбранителни, правителствени, телекомуникационни и технологични структури в Пакистан, съобщава Cloudflare.
Проследявана като SloppyLemming, операциите на групата съвпадат с тези на Outrider Tiger – колектив, който преди това CrowdStrike свързваше с Индия и който е известен с използването на рамки за емулация на противници като Sliver и Cobalt Strike в своите атаки.
От 2022 г. насам се наблюдава, че хакерската група разчита на Cloudflare Workers в шпионски кампании, насочени към Пакистан и други страни от Южна и Източна Азия, включително Бангладеш, Китай, Непал и Шри Ланка. Cloudflare е идентифицирала и смекчила 13 Workers, свързани с актора на заплаха.
„Извън Пакистан събирането на удостоверения от SloppyLemming е съсредоточено предимно върху правителствени и военни организации в Шри Ланка и Бангладеш, и в по-малка степен – върху китайски структури от енергийния и академичния сектор“, съобщава Cloudflare.
Според Cloudflare заплахата изглежда е особено заинтересована от компрометиране на пакистанските полицейски управления и други правоприлагащи организации, както и от вероятна насоченост към структури, свързани с единствения пакистански ядрен енергиен обект.
„SloppyLemming широко използва събирането на удостоверения като средство за получаване на достъп до целеви имейл акаунти в организации, които предоставят разузнавателна стойност на изпълнителя“, отбелязва Cloudflare.
Използвайки фишинг имейли, заплашващият хакер доставя злонамерени връзки на набелязаните жертви, разчита на персонализиран инструмент, наречен CloudPhish, за да създаде злонамерен Cloudflare Worker за събиране и ексфилтриране на удостоверения, и използва скриптове за събиране на интересни имейли от акаунтите на жертвите.
При някои атаки SloppyLemming се опитва да събира и токени Google OAuth, които се доставят през Discord. Вижда се, че като част от веригата от атаки се използват злонамерени PDF файлове и Cloudflare Workers.ю
През юли 2024 г. е забелязано, че заплахата пренасочва потребителите към файл, хостван в Dropbox, който се опитва да използва уязвимост на WinRAR, проследена като CVE-2023-38831, за да зареди програма за изтегляне, която извлича от Dropbox троянски кон за отдалечен достъп (RAT), предназначен да комуникира с няколко Cloudflare Workers.
Наблюдавано е също така, че SloppyLemming доставя spear-phishing имейли като част от верига от атаки, която разчита на код, хостван в контролирано от нападателя хранилище в GitHub, за да провери кога жертвата е получила достъп до фишинг връзката. Зловредният софтуер, доставен като част от тези атаки, комуникира с Cloudflare Worker, който препраща заявки към сървъра за командване и контрол (C&C) на нападателите.
Cloudflare е идентифицирала десетки C&C домейни, използвани от извършителя, и анализът на техния неотдавнашен трафик е разкрил възможните намерения на SloppyLemming да разшири операциите си в Австралия или други държави.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.