RusticWeb 行动:一项基于 Rust 的恶意软件针对印度政府实体

印度政府实体和国防部门已成为网络钓鱼活动的目标,该恶意行动旨在投放基于 Rust 的恶意软件以进行情报收集。该行动于 2023 年 10 月首次检测到,网络安全公司 SEQRITE 将该行动代号为“Operation RusticWeb”

目前根据安全研究员检测发现,新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务引擎,而不是专用的命令和控制 (C2) 服务器。该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠,这两个集群均被评估为与巴基斯坦有关。

SideCopy针对印度政府机构发起的多次网络攻击,以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。SideCopy APT 组织的感染链涉及多个步骤,每个步骤都经过精心策划,以确保成功入侵。

最新的一组攻击从网络钓鱼电子邮件开始,利用社会工程技术诱骗受害者与恶意 PDF 文件进行交互,这些文件会丢弃基于 Rust 的有效负载,用于在后台枚举文件系统,同时向受害者显示诱饵文件。

RusticWeb 行动:一项基于 Rust 的恶意软件针对印度政府实体_第1张图片

除了收集具备高价值的文件外,该恶意软件还可以收集系统信息并将其传输到 C2 服务器,但缺乏地下网络犯罪中其他高级窃取恶意软件的功能。

令人意想不到的是,最后阶段的有效负载是通过名为“Cisco AnyConnect Web Helper”的 Rust 可执行文件启动的。收集到的信息最终上传到 oshi[.]at 域,这是一个名为OshiUpload的匿名公共文件共享引擎。RusticWeb 行动可能与 APT 威胁有关,因为它与多个与巴基斯坦有关的组织有相似之处。

 

 

你可能感兴趣的:(威胁分析)