Eine neue gezielte Phishing-Kampagne hat es auf eine Zwei-Faktor-Authentifizierungslösung namens Kavach abgesehen, die von indischen Regierungsbeamten verwendet wird.
Die Cybersecurity-Firma Securonix nannte die Aktion STEPPY#KAVACH und schrieb sie aufgrund von taktischen Überschneidungen mit früheren Angriffen einem als SideCopy bekannten Bedrohungsakteur zu.
„LNK-Dateien werden verwendet, um eine Codeausführung zu initiieren, die schließlich einen bösartigen C#-Payload herunterlädt und ausführt, der als Remote Access Trojaner (RAT) fungiert“, so die Securonix-Forscher Den Iuzvyk, Tim Peck und Oleg Kolesnikov in einem neuen Bericht.
SideCopy, eine Hackergruppe, die vermutlich aus Pakistan stammt und mindestens seit 2019 aktiv ist, soll mit einem anderen Akteur namens Transparent Tribe (auch bekannt als APT36 oder Mythic Leopard) in Verbindung stehen.
Es ist auch bekannt, dass sie die Angriffsketten von SideWinder nachahmt, einer prominenten Gruppe von Nationalstaaten, die vor allem pakistanische Militäreinrichtungen angreift, um ihr eigenes Toolset einzusetzen.
Dies ist jedoch nicht das erste Mal, dass Kavach als Ziel für den Akteur auftaucht. Im Juli 2021 berichtete Cisco Talos über eine Spionageoperation, bei der Zugangsdaten von indischen Regierungsangestellten gestohlen wurden.
Seit Anfang des Jahres hat Transparent Tribe bei seinen Angriffen auf Indien Kavach-Täuschungs-Apps eingesetzt.
Bei der jüngsten Angriffssequenz, die Securonix in den letzten Wochen beobachtet hat, werden Phishing-E-Mails verwendet, um potenzielle Opfer dazu zu bringen, eine Verknüpfungsdatei (.LNK) zu öffnen, um mit dem Windows-Dienstprogramm mshta.exe eine entfernte .HTA-Nutzlast auszuführen.
Die HTML-Anwendung, so das Unternehmen, „wurde auf einer wahrscheinlich kompromittierten Website in einem obskuren ‚Galerie‘-Verzeichnis entdeckt, in dem einige der Bilder der Website gespeichert sind“.
Bei der betroffenen Website handelt es sich um incometaxdelhi[.]org, die offizielle Website der indischen Einkommensteuerbehörde für die Region Delhi. Die schädliche Datei ist auf dem Portal nicht mehr verfügbar.
In der nächsten Phase führt das Ausführen der .HTA-Datei zur Ausführung eines verschleierten JavaScript-Codes, der eine Täuschungsbilddatei mit einer Ankündigung des indischen Verteidigungsministeriums von vor einem Jahr im Dezember 2021 anzeigen soll.
Der JavaScript-Code lädt außerdem eine ausführbare Datei von einem entfernten Server herunter, verändert die Windows-Registrierung und startet den Rechner neu, um die Binärdatei nach dem Start automatisch zu starten.
Die Binärdatei fungiert ihrerseits als Hintertür, die es dem Bedrohungsakteur ermöglicht, Befehle auszuführen, die von einer vom Angreifer kontrollierten Domäne gesendet werden, zusätzliche Nutzdaten abzurufen und auszuführen, Screenshots zu machen und Dateien zu exfiltrieren.
Die Exfiltrationskomponente enthält auch eine Option, um gezielt nach einer Datenbankdatei („kavach.db“) zu suchen, die von der Kavach-App auf dem System erstellt wurde, um die Zugangsdaten zu speichern.
Es ist erwähnenswert, dass die oben genannte Infektionskette vom MalwareHunterTeam in einer Reihe von Tweets am 8. Dezember 2022 aufgedeckt wurde, in denen der Fernzugriffstrojaner als MargulasRAT beschrieben wurde.
„Basierend auf den korrelierten Daten aus den Binärproben des RAT, die von den Bedrohungsakteuren verwendet wurden, wurde diese Kampagne gegen indische Ziele im letzten Jahr unentdeckt durchgeführt“, so die Forscher.