Ngày 23 tháng 2 năm 2023Ravie Lakshmanan Phần mềm độc hại / Mối đe dọa Intel
Các tổ chức nghiên cứu vật liệu ở châu Á đã trở thành mục tiêu của một tác nhân đe dọa chưa từng được biết đến bằng cách sử dụng một bộ công cụ riêng biệt.
Symantec, của Broadcom Software, đang theo dõi cụm dưới biệt danh Clasiopa. Nguồn gốc của nhóm hack và các chi nhánh của nó hiện chưa được biết, nhưng có những gợi ý cho thấy kẻ thù có thể có quan hệ với Ấn Độ.
Điều này bao gồm các tham chiếu đến “SAPTARISHI-ATHARVAN-101” trong một cửa hậu tùy chỉnh và việc sử dụng mật khẩu “iloveindea1998^_^” cho một kho lưu trữ ZIP.
Điều đáng chú ý là Saptarishi, có nghĩa là “Bảy nhà hiền triết” trong tiếng Phạn, đề cập đến một nhóm các nhà tiên tri được tôn kính trong văn học Ấn Độ giáo. Atharvan là một linh mục Ấn Độ giáo cổ đại và được cho là đồng tác giả của một trong bốn kinh Veda, một bộ sưu tập kinh sách tôn giáo của Ấn Độ giáo.
“Mặc dù những chi tiết này có thể gợi ý rằng nhóm này có trụ sở tại Ấn Độ, nhưng cũng có khả năng thông tin đã được đặt dưới dạng cờ giả, đặc biệt là mật khẩu dường như là một manh mối quá rõ ràng”, Symantec cho biết trong một báo cáo được chia sẻ với The Tin tặc.
Phương thức truy cập ban đầu cũng không rõ ràng, mặc dù người ta nghi ngờ rằng các cuộc xâm nhập mạng lợi dụng các cuộc tấn công vũ phu vào các máy chủ truy cập internet.
Một số dấu hiệu chính của các cuộc xâm nhập liên quan đến việc xóa nhật ký giám sát hệ thống (Sysmon) và sự kiện cũng như việc triển khai nhiều cửa hậu, chẳng hạn như Atharvan và một phiên bản sửa đổi của Lilith RAT mã nguồn mở, để thu thập và lấy cắp thông tin nhạy cảm.
Atharvan còn có khả năng liên hệ với máy chủ chỉ huy và kiểm soát (C&C) được mã hóa cứng để truy xuất tệp và chạy các tệp thực thi tùy ý trên máy chủ bị nhiễm.
Symantec chỉ ra: “Các địa chỉ C&C được mã hóa cứng được thấy trong một trong các mẫu được phân tích cho đến nay là dành cho khu vực Amazon AWS Hàn Quốc (Seoul), đây không phải là địa điểm phổ biến cho cơ sở hạ tầng C&C”.
Tiết lộ này được đưa ra một ngày sau khi công ty an ninh mạng này loại bỏ một nhóm đe dọa không có giấy tờ khác cho đến nay được gọi là Hydrochasma đã được quan sát thấy nhắm mục tiêu vào các công ty vận chuyển và phòng thí nghiệm y tế ở châu Á.
