研究人员详细介绍了巴基斯坦黑客如何攻击印度和阿富汗政府

一名巴基斯坦威胁行为人成功地对阿富汗的多个部委和印度的一台共享政府计算机进行了社会工程，从其目标窃取敏感的谷歌、推特和Facebook凭据，并秘密访问政府门户。

Malwarebytes的最新发现详细介绍了APT集团（简称APT）采用的新策略和工具旁白它之所以被称为“响尾蛇”，是因为它试图模仿与另一个被追踪为响尾蛇的群体相关的感染链，并误导归因。

Malwarebytes研究员侯赛因·贾齐（Hossein Jazi）说：“SideCopy APT使用的诱饵通常是嵌入了其中一个文件的存档文件：LNK、Microsoft Publisher或特洛伊木马应用程序。”他补充说，嵌入的文件是针对阿富汗和印度的政府和军事官员量身定制的。

紧随着梅塔采取措施阻止该组织在其平台上进行的恶意活动的披露，梅塔利用浪漫的诱惑，对与阿富汗政府、军队和喀布尔执法部门有联系的个人进行了妥协。

一些著名的袭击是针对与阿富汗总统办公厅（AOP）以及外交部、财政部和国家采购局有关的人员发动的，导致社交媒体密码和受密码保护的文件被盗。SideCopy还闯入了印度的一台共享计算机，并从政府和教育服务机构获取了证书。

此外，据说这位演员还从阿富汗政府网站上窃取了几份微软Office文件，包括官员的姓名、号码和电子邮件地址，以及包含身份证、外交签证和资产注册信息的数据库，所有这些都将被用作未来的诱饵，或为针对个人的进一步攻击提供燃料。

Malwarebytes观察到的网络间谍活动涉及目标打开lure文档，导致执行加载程序，该加载程序用于删除名为ActionRAT的下一阶段远程访问特洛伊木马，该木马能够上载文件、执行从服务器接收的命令，甚至下载更多有效负载。

加载器还丢弃了一个名为AuTo stealer的新信息窃取程序，该程序可以收集Microsoft Office文件、PDF文档、文本文件、数据库文件和图像，然后通过HTTP或TCP将信息导出到服务器。

这远非SideCopy APT的策略第一次曝光。2020年9月，网络安全公司Quick Heal披露了至少自2019年以来针对印度国防部队和武装部队人员的间谍攻击细节，目的是窃取敏感信息。

今年7月早些时候，Cisco Talos研究人员揭露了黑客集团的无数感染链，这些链提供定制和商品远程访问特洛伊木马，如CetaRAT、Allakore和njRAT，他们称之为针对印度实体的恶意软件活动的扩大。