印度政府机构和国防工业已成为黑客利用网络钓鱼和基于 Rust 的恶意软件进行侦察的攻击目标。该活动于 2023 年 10 月发现,被称为“Operation RusticWeb”,由安全公司 SEQRITE 识别。
根据 SEQRITE报告 ,新的基于 Rust 的有效负载和加密的 PowerShell 命令被用来窃取敏感文档。它们不会将收集到的信息传输到传统的命令和控制 ( C2 ) 服务器,而是传输到网络服务。
分析显示,所发现的活动与透明部落和 SideCopy 组织的活动之间存在战术联系,据称这些组织与巴基斯坦有关。据 SEQRITE 称,SideCopy 可能隶属于透明部落 (Transparent Tribe)。在 该组织针对印度政府机构的最新行动中 ,使用了木马 AllaKore RAT、Ares RAT 和 DRat。
ThreatMon 指出,最近的攻击包括使用伪造的 PowerPoint 文件和特制的 RAR 存档,容易受到 CVE-2023-38831 的影响 ,从而使攻击者能够获得对设备的完全远程访问和控制。
SideCopy APT Group 感染链包括多个阶段,每个阶段都经过精心策划,以确保成功破解。最新的一组攻击始于网络钓鱼电子邮件,该电子邮件使用社会工程技术来诱骗受害者与恶意 PDF 进行交互,该 PDF 会提供基于 Rust 的有效负载来扫描文件系统,同时向受害者显示虚假文档。
该病毒收集文件和系统信息,并将其发送到 C2 服务器。然而,专家表示,该恶意软件不具备网络犯罪市场上更高级恶意软件的功能。
SEQRITE 在 12 月发现的另一个感染链也是多阶段的,但其中 Rust 病毒被 PowerShell 脚本取代。感染链的末端是一个名为“Cisco AnyConnect Web Helper”的 Rust 可执行文件。收集的数据被发送到域“oshi[.]at”,这是一个 名为 OshiUpload 的公共文件服务 。