Търсене
Close this search box.

Вероятно действащ от Индия колектив разчита на различни облачни услуги, за да извършва кибератаки срещу енергийни, отбранителни, правителствени, телекомуникационни и технологични структури в Пакистан, съобщава Cloudflare.

Проследявана като SloppyLemming, операциите на групата съвпадат с тези на Outrider Tiger – колектив, който преди това CrowdStrike свързваше с Индия и който е известен с използването на рамки за емулация на противници като Sliver и Cobalt Strike в своите атаки.

От 2022 г. насам се наблюдава, че хакерската група разчита на Cloudflare Workers в шпионски кампании, насочени към Пакистан и други страни от Южна и Източна Азия, включително Бангладеш, Китай, Непал и Шри Ланка. Cloudflare е идентифицирала и смекчила 13 Workers, свързани с актора на заплаха.

„Извън Пакистан събирането на удостоверения от SloppyLemming е съсредоточено предимно върху правителствени и военни организации в Шри Ланка и Бангладеш, и в по-малка степен – върху китайски структури от енергийния и академичния сектор“, съобщава Cloudflare.

Според Cloudflare заплахата изглежда е особено заинтересована от компрометиране на пакистанските полицейски управления и други правоприлагащи организации, както и от вероятна насоченост към структури, свързани с единствения пакистански ядрен енергиен обект.

„SloppyLemming широко използва събирането на удостоверения като средство за получаване на достъп до целеви имейл акаунти в организации, които предоставят разузнавателна стойност на изпълнителя“, отбелязва Cloudflare.

Използвайки фишинг имейли, заплашващият хакер доставя злонамерени връзки на набелязаните жертви, разчита на персонализиран инструмент, наречен CloudPhish, за да създаде злонамерен Cloudflare Worker за събиране и ексфилтриране на удостоверения, и използва скриптове за събиране на интересни имейли от акаунтите на жертвите.

При някои атаки SloppyLemming се опитва да събира и токени Google OAuth, които се доставят  през Discord. Вижда се, че като част от веригата от атаки се използват злонамерени PDF файлове и Cloudflare Workers.ю

През юли 2024 г. е забелязано, че  заплахата пренасочва потребителите към файл, хостван в Dropbox, който се опитва да използва уязвимост на WinRAR, проследена като CVE-2023-38831, за да зареди програма за изтегляне, която извлича от Dropbox троянски кон за отдалечен достъп (RAT), предназначен да комуникира с няколко Cloudflare Workers.

Наблюдавано е също така, че SloppyLemming доставя spear-phishing имейли като част от верига от атаки, която разчита на код, хостван в контролирано от нападателя хранилище в GitHub, за да провери кога жертвата е получила достъп до фишинг връзката. Зловредният софтуер, доставен като част от тези атаки, комуникира с Cloudflare Worker, който препраща заявки към сървъра за командване и контрол (C&C) на нападателите.

Cloudflare е идентифицирала десетки C&C домейни, използвани от извършителя, и анализът на техния неотдавнашен трафик е разкрил възможните намерения на SloppyLemming да разшири операциите си в Австралия или други държави.

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
27/09/2024

Израелска група претендира ...

В сряда американската агенция за киберсигурност...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!