El sector de defensa y entidades gubernamentales indias han sido objeto de una campaña de phishing desde octubre de 2023, en la que se ha empleado malwares basados en Rust para el robo de inteligencia. La empresa de seguridad empresarial SEQRITE ha denominado a esta actividad «Operación RusticWeb».
El equipo de investigadores encontró nuevas cargas útiles basadas en Rust, así como comandos PowerShell cifrados que se han utilizado para extraer documentos confidenciales a un servicio web, en lugar de a un servidor dedicado de C2. De acuerdo con Sathwik Ram Prakki, investigador de seguridad, se ha descubierto una superposición táctica entre este clúster y otros conocidos como Transparent Tribe y SideCopy, los cuales se asumen que tienen relación con Pakistán.
Aparte de Transparent Tribe, SEQRITE detalló que el mes pasado se llevaron a cabo varias campañas por parte del actor de amenazas para apuntar a organismos gubernamentales indios, y se emplearon varios troyanos como AllaKore RAT, Ares RAT y DRat.
Por su parte, ThreatMon documentó recientemente cadenas de ataque que empleaban archivos ficticios de PowerPoint de Microsoft y archivos RAR especialmente diseñados que eran susceptibles a CVE-2023-38831 para la distribución de malware, lo que permitía acceder y controlar remotamente los equipos a su antojo.
Es importante destacar que el grupo de amenazas SideCopy involucra varias etapas, cada una cuidadosamente orquestada para asegurarse un éxito en la comprometición del equipo según menciona ThreatMon a principios de este año. Los ataques comenzaron con un correo electrónico de phishing utilizado para que las víctimas interactúen con archivos PDF maliciosos que descargan cargas útiles basadas en Rust para la enumeración del sistema de archivos.
Además de acumular archivos de interés, el malware está equipado para recopilar información del sistema y transmitirla al servidor C2, pero carece de las características de otros malwares avanzados de robo disponibles en la ciberdelincuencia.
Una segunda cadena de infección identificada por SEQRITE en diciembre emplea un proceso similar en varias etapas, pero sustituye el malware Rust por un script PowerShell que se encarga de la enumeración y la extracción de datos.
Curiosamente, la carga útil de la última etapa se lanza a través de un ejecutable Rust que lleva el nombre de «Cisco AnyConnect Web Helper». La información recolectada se sube a un dominio oshi[.]at, un motor anónimo de intercambio de archivos llamado OshiUpload.
Ram Prakki mencionó que se podría relacionar la Operación RusticWeb con una amenaza de APT ya que comparte similitudes con varios grupos vinculados con Pakistán.
Cabe destacar que este anuncio se produce casi dos meses después de que Cyble descubriera una aplicación maliciosa de Android utilizada por el equipo DoNot para atacar a personas en la región de Cachemira de India. Se cree que este actor estatal, también conocido por los nombres APT-C-35, Origami Elephant y SECTOR02, es de origen indio y ha utilizado malwares de Android para infiltrarse en dispositivos pertenecientes a personas de Cachemira y Pakistán.
