08 mai 2023Ravie LakshmananCyber ​​espionnage / Threat Intel

Pirates Sidecopy

L’acteur menaçant aligné sur le Pakistan connu sous le nom de Copie latérale a été observé en train d’exploiter des thèmes liés à l’organisation de recherche militaire indienne dans le cadre d’une campagne de phishing en cours.

Cela implique l’utilisation d’un leurre d’archive ZIP appartenant à l’Organisation indienne de recherche et de développement pour la défense (DRDO) pour fournir une charge utile malveillante capable de récolter des informations sensibles, Fortinet FortiGuard Labs a dit dans un nouveau rapport.

Le groupe de cyberespionnage, dont les activités remontent au moins à 2019, cible des entités qui s’alignent sur les intérêts du gouvernement pakistanais. On pense qu’il partage des chevauchements avec une autre équipe de piratage pakistanaise appelée Transparent Tribe.

La Cyber-Sécurité

L’utilisation par SideCopy de leurres liés à DRDO pour la distribution de logiciels malveillants a déjà été signalée par Cyble et la société chinoise de cybersécurité QiAnXin en mars 2023, et à nouveau par Équipe Cymru le mois dernier.

Publicité

Fait intéressant, les mêmes chaînes d’attaque ont été observées pour charger et exécuter Action RAT ainsi qu’un cheval de Troie d’accès à distance open source connu sous le nom d’AllaKore RAT.

La dernière séquence d’infection documentée par Fortinet n’est pas différente, conduisant au déploiement d’une souche non spécifiée de RAT capable de communiquer avec un serveur distant et de lancer des charges utiles supplémentaires.

Le développement est une indication que SideCopy a continué à mener des attaques par e-mail de harponnage qui utilisent des leurres d’ingénierie sociale liés au gouvernement indien et aux forces de défense pour supprimer un large éventail de logiciels malveillants.

Pirates Sidecopy
Source : Équipe Cymru

Une analyse plus approfondie de l’infrastructure de commande et de contrôle (C2) d’Action RAT par l’équipe Cymru a identifié des connexions sortantes de l’une des adresses IP du serveur C2 vers une autre adresse. 66.219.22[.]252qui est géolocalisé au Pakistan.

La société de cybersécurité a également déclaré avoir observé « des communications provenant de 17 adresses IP distinctes attribuées à des fournisseurs de téléphonie mobile pakistanais et de quatre nœuds VPN Proton », notant des connexions entrantes vers l’adresse IP à partir d’adresses IP attribuées à des FAI indiens.

WEBINAIRE À VENIR

Apprenez à arrêter les ransomwares avec une protection en temps réel

Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.

Sauvez ma place !

Au total, jusqu’à 18 victimes distinctes en Inde ont été détectées comme se connectant à des serveurs C2 associés à Action RAT et 236 victimes uniques, à nouveau situées en Inde, se connectant à des serveurs C2 associés à AllaKore RAT.

Les dernières découvertes donnent du crédit aux liens de SideCopy au Pakistan, sans oublier de souligner le fait que la campagne a réussi à cibler les utilisateurs indiens.

« L’infrastructure d’Action RAT, connectée à SideCopy, est gérée par des utilisateurs accédant à Internet depuis le Pakistan », a déclaré l’équipe Cymru. « L’activité des victimes a précédé le rapport public de cette campagne, dans certains cas de plusieurs mois. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.7/5 - (6 votes)
Publicité
Article précédentLe tournoi The International de Dota 2 revient à Seattle cette année
Article suivantHeure de sortie de l’épisode 6 de The Last of Us (par fuseau horaire)
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici