Một nhóm hack chưa từng được biết đến trước đây có liên quan đến các cuộc tấn công có chủ đích nhằm vào các nhà hoạt động nhân quyền, người bảo vệ nhân quyền, học giả và luật sư trên khắp Ấn Độ nhằm cố gắng đưa ra “bằng chứng kỹ thuật số buộc tội”.
Công ty an ninh mạng SentinelOne quy các vụ xâm nhập vào một nhóm mà nó theo dõi là “ModifiedElephant“một tác nhân đe dọa khó nắm bắt đã hoạt động ít nhất từ năm 2012, hoạt động của người này rất phù hợp với lợi ích của nhà nước Ấn Độ.
Các nhà nghiên cứu cho biết: “ModifiedElephant hoạt động thông qua việc sử dụng các trojan truy cập từ xa (RAT) có sẵn trên thị trường và có mối quan hệ tiềm năng với ngành giám sát thương mại. “Kẻ đe dọa sử dụng trò lừa đảo trực tuyến với các tài liệu độc hại để gửi phần mềm độc hại, chẳng hạn như NetWire, DarkComet và keylogger đơn giản.”
Mục tiêu chính của ModifiedElephant là tạo điều kiện thuận lợi cho việc giám sát lâu dài các cá nhân bị nhắm mục tiêu, cuối cùng dẫn đến việc cung cấp “bằng chứng” trên hệ thống bị xâm nhập của nạn nhân với mục tiêu đóng khung và giam giữ các đối thủ dễ bị tấn công.
Các nhà nghiên cứu Tom Hegel và Juan Andres Guerrero-Saade của SentinelOne cho biết các mục tiêu đáng chú ý bao gồm các cá nhân liên quan đến bạo lực Bhima Koregaon năm 2018 ở bang Maharashtra, Ấn Độ.
Các chuỗi tấn công liên quan đến việc lây nhiễm các mục tiêu – một số trong số chúng nhiều lần trong một ngày – sử dụng email lừa đảo trực tuyến có chủ đề xoay quanh các chủ đề liên quan đến hoạt động, biến đổi khí hậu và chính trị và chứa các tệp đính kèm tài liệu Microsoft Office độc hại hoặc liên kết đến các tệp được lưu trữ bên ngoài. được vũ khí hóa với phần mềm độc hại có khả năng chiếm quyền kiểm soát máy nạn nhân.
Các nhà nghiên cứu cho biết: “Các email lừa đảo có nhiều cách tiếp cận để có được vẻ ngoài hợp pháp. “Điều này bao gồm nội dung cơ thể giả mạo với lịch sử chuyển tiếp chứa danh sách dài người nhận, danh sách người nhận email ban đầu với nhiều tài khoản dường như giả mạo hoặc chỉ đơn giản là gửi lại phần mềm độc hại của họ nhiều lần bằng cách sử dụng email mới hoặc tài liệu thu hút.”
Cũng được phân phối bằng cách sử dụng email lừa đảo là một loại trojan hàng hóa không xác định nhắm mục tiêu vào Android, cho phép những kẻ tấn công đánh chặn và quản lý dữ liệu SMS và cuộc gọi, xóa hoặc mở khóa thiết bị, thực hiện các yêu cầu mạng và quản lý từ xa các thiết bị bị nhiễm. SentinelOne mô tả nó là một “bộ công cụ giám sát di động chi phí thấp lý tưởng.”
Các nhà nghiên cứu cho biết: “Kẻ này đã hoạt động trong nhiều năm, trốn tránh sự chú ý và phát hiện của nghiên cứu do phạm vi hoạt động hạn chế, bản chất trần tục của các công cụ của họ và nhắm mục tiêu theo khu vực cụ thể”.
.
