SideCopy黑客用新的恶意软件攻击印度政府官员

一个网络间谍组织被观察到越来越多地以印度政府人员为目标，这是一场广泛运动的一部分，该运动旨在用多达四个新的定制远程访问特洛伊木马（RAT）感染受害者，标志着“他们的开发操作得到了提升”

Cisco Talos在周三发布的一份报告中称，由于一个被追踪为SideCopy的组织，入侵最终导致部署了各种模块化插件，从文件枚举器到浏览器凭证窃取器和键盘记录器（Xeytan和Lavo）

“侧记活动中观察到的目标策略和主题表明，与同样针对印度的透明部落APT（又名APT36）有着高度的相似性，”研究人员Asheer Malhotra和Justin Thattil说。“其中包括使用伪装成军事和智库作战文件的假文件，以及基于蜜网的感染。”

印度网络安全公司Quick Heal于2020年9月首次记录，SideCopy有模仿Sidewinder实施的感染链的历史，易于交付自己的恶意软件集—；试图误导归因和逃避侦查—；在对受害者的数据和环境进行侦察后，不断重新装备有效载荷，包括在其武器中进行额外的利用

该对手也被认为是巴基斯坦人，怀疑与透明部落（又名神话豹）组织有联系，该组织与针对印度军方和政府实体的几起袭击有关。威胁行为人过去的行动涉及使用政府和军事相关诱饵，挑出印度国防部队和武装部队人员，并交付能够访问文件、剪贴板数据、终止进程甚至执行任意命令的恶意软件。

最新一波攻击利用大量TTP，包括恶意LNK文件和诱饵文件，提供定制和商用商品RAT的组合，如CetaRAT、DetaRAT、Reversereat、MargulasRAT、njRAT、Allakore、ActionRAT、Lillith和Epicenter RAT。除了军事主题外，人们还发现，SideCopy还利用与印度智库相关的提案和职位空缺来瞄准潜在的受害者

“新RAT恶意软件的开发表明，自2019年以来，这群攻击者正在迅速发展其恶意软件库和感染后工具，”Malhotra和Thattil指出。研究人员说，这些改进显示出了将攻击链模块化的努力，同时也显示了该组织战术的复杂性增加

除了部署成熟的后门，SideCopy还被观察到利用插件在受感染的端点上执行特定的恶意任务，其中最主要的是一个基于Golang的名为“Nodachi”的模块，该模块旨在对一个名为Kavach的政府授权双因素身份验证解决方案进行侦察和窃取文件，该解决方案是访问电子邮件服务所必需的

研究人员说，目标似乎是窃取印度政府雇员的访问凭证，重点是间谍活动，并补充说，威胁演员为MargulasRAT开发了滴管，伪装成Windows上Kavach的安装人员

恶意软件研究人员@0xrb也在独立追踪此次活动，他通过SideCopy攻击者用来连接命令和控制服务器的另外两个IP与黑客新闻取得了联系，这两座城市都位于伊斯兰堡市，这让人相信这名威胁行为者来自巴基斯坦

“一开始是通过侧镜将简单的感染载体传递给一只定制的大鼠（CetaRAT），现在已经演变为多个感染链变体，传递给几只大鼠，”研究人员得出结论。“从LNK文件到自解压RAR EXE，再到基于MSI的安装程序，这些感染技术的使用都表明，参与者正在积极地感染受害者。”

在与黑客新闻分享的一份独立报告中，网络安全公司Quick Heal指出，SideCopy actor开展的第二波数字监控活动针对印度电信、电力和金融部门的关键公共事业（PSU）

“研究人员说：“这表明这是一次组织严密的行动，旨在规避大多数安全机制。”他们还补充说，恶意行为者“在发起攻击行动之前进行了详细的侦察”，“与去年相比，改进了攻击工具和方法，使检测变得困难。"