Οι hackers SideCopy στοχεύουν την Ινδία με τα Spark και CurlBack RAT
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers SideCopy στοχεύουν την Ινδία με τα Spark και CurlBack RAT
https://www.secnews.gr/646211/hackers-sidecopy-stoxeuoun-india-spark-kai-curlback-rat/
Apr 14th 2025, 13:30
by Digital Fortress
Hackers (SideCopy), που φέρεται να συνδέονται με το Πακιστάν, στοχεύουν διάφορους τομείς στην Ινδία με trojans απομακρυσμένης πρόσβασης όπως το Xeno RAT, το Spark RAT και το νέο CurlBack RAT.
Η δραστηριότητα, που εντοπίστηκε από τη SEQRITE τον Δεκέμβριο του 2024, στόχευε ινδικές οντότητες που υπάγονται στα υπουργεία που ασχολούνται με τους σιδηροδρόμους, το πετρέλαιο και το φυσικό αέριο και τις εξωτερικές υποθέσεις. Μέχρι τώρα, οι hackers στόχευαν κυρίως κυβερνητικούς, αμυντικούς και ναυτιλιακούς φορείς και πανεπιστήμια.
"Μια αξιοσημείωτη αλλαγή στις πρόσφατες καμπάνιες είναι η μετάβαση από τη χρήση αρχείων HTML Application (HTA) στην υιοθέτηση Microsoft Installer (MSI) packages ως πρωταρχικού μηχανισμού staging", δήλωσε ο ερευνητής ασφάλειας Sathwik Ram Prakki.
Δείτε επίσης: Το νέο Sakura RAT του GitHub αποφεύγει τις προστασίες AV & EDR
Η ομάδα SideCopy θεωρείται υπο-cluster της Transparent Tribe (γνωστή και ως APT36) που είναι ενεργή τουλάχιστον από το 2019. Ονομάστηκε SideCopy γιατί φαίνεται να μιμείται τις αλυσίδες επίθεσης μιας άλλης ομάδας που ονομάζεται SideWinder.
Τον Ιούνιο του 2024, η SEQRITE ανέφερε ότι οι hackers SideCopy χρησιμοποιούσαν HTA files, αξιοποιώντας τεχνικές που είχαν παρατηρηθεί προηγουμένως σε επιθέσεις της SideWinder. Διαπιστώθηκε επίσης ότι τα αρχεία περιείχαν αναφορές σε διευθύνσεις URL που φιλοξενούσαν αρχεία RTF και είχαν, επίσης, χρησιμοποιηθεί από τη SideWinder.
Οι επιθέσεις οδηγούσαν στην ανάπτυξη των Action RAT και ReverseRAT, δύο malware που αποδίδονται στην SideCopy. Επίσης, έχουν εντοπιστεί πολλά άλλα payloads, όπως το Cheex για την κλοπή εγγράφων και εικόνων, ένα USB copier για τη συλλογή δεδομένων από συνδεδεμένες μονάδες δίσκου και το Geta RAT που μπορεί να εκτελεί 30 εντολές που στέλνονται από έναν απομακρυσμένο διακομιστή.
Το RAT είναι εξοπλισμένο για να κλέβει δεδομένα από προγράμματα περιήγησης (Firefox και Chromium) λογαριασμούς, προφίλ και cookies.
"Η εστίαση της APT36 είναι κυρίως συστήματα Linux, ενώ η SideCopy στοχεύει συστήματα Windows προσθέτοντας νέα payloads στο οπλοστάσιό της", είχε πει τότε η SEQRITE.
Δείτε επίσης: SnowDog: Νέο RAT malware διαφημίζεται σε hacking forums
Τα τελευταία ευρήματα καταδεικνύουν μια συνεχιζόμενη ωρίμανση της ομάδας hacking, η οποία αξιοποιεί phishing emails ως φορέα διανομής για κακόβουλο λογισμικό. Τα emails περιέχουν διάφορα έγγραφα ως δόλωμα, που κυμαίνονται από λίστες διακοπών/αδειών για το προσωπικό των σιδηροδρόμων έως οδηγίες κυβερνοασφάλειας που εκδίδονται από μια επιχείρηση του δημόσιου τομέα που ονομάζεται Hindustan Petroleum Corporation Limited (HPCL).
Οι πιο νέες επιθέσεις οδηγούν τελικά στην ανάπτυξη του trojan απομακρυσμένης πρόσβασης Spark RAT και ενός νέου κακόβουλου λογισμικού Windows με την κωδική ονομασία CurlBack RAT. To CurlBack μπορεί να συλλέγει πληροφορίες συστήματος, να κατεβάζει αρχεία από τον κεντρικό υπολογιστή, να εκτελεί αυθαίρετες εντολές, να αυξάνει προνόμια και να καταγράφει τους λογαριασμούς των χρηστών.
Οι hackers SideCopy στοχεύουν την Ινδία με τα Spark και CurlBack RAT
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan.
Δείτε επίσης: Οι Ρώσοι hackers Gamaredon στοχεύουν την Ουκρανία με το Remcos RAT
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers SideCopy στοχεύουν την Ινδία με τα Spark και CurlBack RAT
https://www.secnews.gr/646211/hackers-sidecopy-stoxeuoun-india-spark-kai-curlback-rat/
Apr 14th 2025, 13:30
by Digital Fortress
Hackers (SideCopy), που φέρεται να συνδέονται με το Πακιστάν, στοχεύουν διάφορους τομείς στην Ινδία με trojans απομακρυσμένης πρόσβασης όπως το Xeno RAT, το Spark RAT και το νέο CurlBack RAT.
Η δραστηριότητα, που εντοπίστηκε από τη SEQRITE τον Δεκέμβριο του 2024, στόχευε ινδικές οντότητες που υπάγονται στα υπουργεία που ασχολούνται με τους σιδηροδρόμους, το πετρέλαιο και το φυσικό αέριο και τις εξωτερικές υποθέσεις. Μέχρι τώρα, οι hackers στόχευαν κυρίως κυβερνητικούς, αμυντικούς και ναυτιλιακούς φορείς και πανεπιστήμια.
"Μια αξιοσημείωτη αλλαγή στις πρόσφατες καμπάνιες είναι η μετάβαση από τη χρήση αρχείων HTML Application (HTA) στην υιοθέτηση Microsoft Installer (MSI) packages ως πρωταρχικού μηχανισμού staging", δήλωσε ο ερευνητής ασφάλειας Sathwik Ram Prakki.
Δείτε επίσης: Το νέο Sakura RAT του GitHub αποφεύγει τις προστασίες AV & EDR
Η ομάδα SideCopy θεωρείται υπο-cluster της Transparent Tribe (γνωστή και ως APT36) που είναι ενεργή τουλάχιστον από το 2019. Ονομάστηκε SideCopy γιατί φαίνεται να μιμείται τις αλυσίδες επίθεσης μιας άλλης ομάδας που ονομάζεται SideWinder.
Τον Ιούνιο του 2024, η SEQRITE ανέφερε ότι οι hackers SideCopy χρησιμοποιούσαν HTA files, αξιοποιώντας τεχνικές που είχαν παρατηρηθεί προηγουμένως σε επιθέσεις της SideWinder. Διαπιστώθηκε επίσης ότι τα αρχεία περιείχαν αναφορές σε διευθύνσεις URL που φιλοξενούσαν αρχεία RTF και είχαν, επίσης, χρησιμοποιηθεί από τη SideWinder.
Οι επιθέσεις οδηγούσαν στην ανάπτυξη των Action RAT και ReverseRAT, δύο malware που αποδίδονται στην SideCopy. Επίσης, έχουν εντοπιστεί πολλά άλλα payloads, όπως το Cheex για την κλοπή εγγράφων και εικόνων, ένα USB copier για τη συλλογή δεδομένων από συνδεδεμένες μονάδες δίσκου και το Geta RAT που μπορεί να εκτελεί 30 εντολές που στέλνονται από έναν απομακρυσμένο διακομιστή.
Το RAT είναι εξοπλισμένο για να κλέβει δεδομένα από προγράμματα περιήγησης (Firefox και Chromium) λογαριασμούς, προφίλ και cookies.
"Η εστίαση της APT36 είναι κυρίως συστήματα Linux, ενώ η SideCopy στοχεύει συστήματα Windows προσθέτοντας νέα payloads στο οπλοστάσιό της", είχε πει τότε η SEQRITE.
Δείτε επίσης: SnowDog: Νέο RAT malware διαφημίζεται σε hacking forums
Τα τελευταία ευρήματα καταδεικνύουν μια συνεχιζόμενη ωρίμανση της ομάδας hacking, η οποία αξιοποιεί phishing emails ως φορέα διανομής για κακόβουλο λογισμικό. Τα emails περιέχουν διάφορα έγγραφα ως δόλωμα, που κυμαίνονται από λίστες διακοπών/αδειών για το προσωπικό των σιδηροδρόμων έως οδηγίες κυβερνοασφάλειας που εκδίδονται από μια επιχείρηση του δημόσιου τομέα που ονομάζεται Hindustan Petroleum Corporation Limited (HPCL).
Οι πιο νέες επιθέσεις οδηγούν τελικά στην ανάπτυξη του trojan απομακρυσμένης πρόσβασης Spark RAT και ενός νέου κακόβουλου λογισμικού Windows με την κωδική ονομασία CurlBack RAT. To CurlBack μπορεί να συλλέγει πληροφορίες συστήματος, να κατεβάζει αρχεία από τον κεντρικό υπολογιστή, να εκτελεί αυθαίρετες εντολές, να αυξάνει προνόμια και να καταγράφει τους λογαριασμούς των χρηστών.
Οι hackers SideCopy στοχεύουν την Ινδία με τα Spark και CurlBack RAT
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan.
Δείτε επίσης: Οι Ρώσοι hackers Gamaredon στοχεύουν την Ουκρανία με το Remcos RAT
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια