TTL OSINT

Операция "Небесная сила" использует вредоносные программы для мобильных устройств и настольных компьютеров, нацеленные на индийские организации

Аналитический центр Cisco Talos в блоге опубликовал отчет об операции "Небесная сила", многолетней кампании, проводимой пакистанской группой злоумышленников, нацеленной на индийские организации. Операция, начавшаяся в 2018 году и продолжающаяся по сей день, использует различные вредоносные программы, в том числе трояны удаленного доступа на базе Windows и Android под названием GravityRAT и HeavyLift. GravityRAT был впервые представлен в 2018 году и с тех пор портирован на Android. Управление кампаниями осуществляется с помощью специально созданных двоичных файлов cpanel под названием "Gravity Admin", которые используются для администрирования кампаний и отправки вредоносных команд на зараженные системы. Двоичные файлы панели запрашивают идентификатор пользователя, пароль и идентификатор кампании и могут запускать различные вредоносные действия против зараженных систем. Кампании названы в честь разных небесных тел, а вредоносное ПО, используемое в каждой кампании, адаптировано к целевой платформе. Вредоносная программа GravityRAT распространяется через вредоносные документы и каналы социальных сетей, в то время как Heavy Lift - через вредоносных установщиков. Операция, вероятно, увенчалась большим успехом благодаря использованию таких простых методов, как социальная инженерия и скрытый фишинг. Организациям рекомендуется сохранять бдительность в отношении таких мотивированных злоумышленников и внедрять модели глубокой защиты от таких атак на различных поверхностях атаки.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.talosintelligence.com/cosmic-leopard/

Выборочные показатели Compromise:

• 36851d1da9b2f35da92d70d4c88ea1675f1059d68fafd3abb1099e075512b45e
• https://zclouddrive.com/system/clouddrive/
• https://dl01.mozillasecurity.com/
• https://www.sexyber.net/downloads/7ddf32e17a6ac5ce04a8ecbf782ca509/Sexyber-1.0.0.zip
• https://www.craftwithme.uk/cwmb/craftwithme/

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал