Phần mềm độc hại Android CapraRAT mới nhắm mục tiêu Chính phủ và Quân nhân Ấn Độ

Phần mềm độc hại CapraRAT Android

Một nhóm mối đe dọa dai dẳng nâng cao có động cơ chính trị (APT) đã mở rộng kho vũ khí của mình để bao gồm một (RAT) mới trong các cuộc tấn công gián điệp nhằm vào các thực thể quân sự và ngoại giao của Ấn Độ.

Được Trend Micro gọi là CapraRAT, thiết bị cấy ghép là một Android RAT thể hiện “mức độ giao thoa” cao với một phần mềm độc hại Windows khác được gọi là CrimsonRAT có liên quan đến Earth Karkaddan, một kẻ đe dọa cũng được theo dõi dưới biệt danh APT36, Chiến dịch C-Major, PROJECTM, Mythic Leopard, và Transparent Tribe.

Những dấu hiệu cụ thể đầu tiên về sự tồn tại của APT36 xuất hiện vào năm 2016 khi nhóm này bắt đầu phát tán phần mềm độc hại đánh cắp thông tin thông qua các có đính kèm tệp PDF độc hại nhắm vào quân đội và nhân viên chính phủ Ấn Độ. Nhóm này được cho là có nguồn gốc Pakistan và hoạt động ít nhất từ ​​năm 2013.

Tác nhân đe dọa cũng được biết là nhất quán trong cách thức hoạt động của nó, với các cuộc tấn công chủ yếu dựa vào kỹ thuật xã hội và một con sâu dựa trên USB làm điểm vào. Trong số các yếu tố phổ biến trong kho vũ khí của nhóm là một cửa hậu Windows được gọi là CrimsonRAT cho phép những kẻ tấn công truy cập rộng rãi vào các hệ thống bị xâm nhập, mặc dù các chiến dịch gần đây đã phát triển để cung cấp ObliqueRAT.

Xem tiếp:   Bản phát hành sản phẩm không nên đáng sợ

Phần mềm độc hại CapraRAT Android

CrimsonRAT được tạo kiểu như một tệp nhị phân .NET với mục đích chính là lấy và lọc thông tin từ các hệ thống Windows được nhắm mục tiêu, bao gồm ảnh chụp màn hình, tổ hợp phím và tệp từ ổ đĩa di động và tải chúng lên máy chủ điều khiển và chỉ huy của kẻ tấn công.

Phần bổ sung mới cho bộ công cụ của nó là một Android RAT tùy chỉnh khác được triển khai bằng các liên kết lừa đảo. CapraRAT, được ngụy trang dưới dạng ứng dụng YouTube, được cho là phiên bản sửa đổi của RAT mã nguồn mở có tên AndroRAT và đi kèm với nhiều chức năng lọc dữ liệu, bao gồm khả năng thu thập vị trí, nhật ký điện thoại và thông tin liên hệ của nạn nhân. .

Đây là lần đầu tiên nhóm hack sử dụng Android RAT. Vào tháng 5 năm 2018, những người bảo vệ nhân quyền ở Pakistan đã bị phần mềm gián điệp Android có tên StealthAgent nhắm mục tiêu để chặn các cuộc gọi và tin nhắn, chụp ảnh và theo dõi nơi ở của họ.

Sau đó, vào năm 2020, các chiến dịch tấn công do Bộ lạc minh bạch thực hiện liên quan đến việc tận dụng các chiêu dụ theo chủ đề quân sự để thả một phiên bản sửa đổi của AhMyth Android RAT giả mạo là một ứng dụng liên quan đến khiêu dâm và một phiên bản giả mạo của ứng dụng theo dõi Aarogya Setu COVID-19.

Xem tiếp:   Tin tặc Triều Tiên bắt đầu năm mới với các cuộc tấn công vào Bộ Ngoại giao Nga

Để giảm thiểu các cuộc tấn công như vậy, người dùng nên đề phòng các email không mong muốn, tránh nhấp vào liên kết hoặc tải xuống tệp đính kèm email từ những người gửi không xác định, chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy và thận trọng khi cấp quyền mà ứng dụng yêu cầu.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …