Operação Sidecopy visa as forças de defesa na Índia

O que foi descoberto?

Recentemente, os pesquisadores do Seqrite descobriram que os atores da ameaça confundiam os pesquisadores de segurança ao copiar os TTPs geralmente implementados pelo grupo Sidewinder APT.

Os atores da ameaça têm desenvolvido e atualizado constantemente os módulos de malware e implantado as versões atualizadas após analisar o reconhecimento dos dados e do ambiente da vítima.
Suspeita-se que o grupo APT por trás da campanha da Operação Sidecopy tenha conexões potenciais com o grupo Transparent Tribe baseado no Paquistão.

Como eles funcionam?

Começando com e-mails de phishing, os invasores usam um ataque de injeção de modelo e vulnerabilidade do editor de equação (CVE-2017-11882) como vetor de infecção inicial.
Os invasores também usam um módulo de backdoor, truques de exfiltração de dados e a técnica de sideload de DLL por meio do kit de ferramentas CactusTorch e outras ferramentas legítimas (dnSpy, MSHTA e Credwiz).

Por que Transparent Tribe é um suspeito?

Um dos traços característicos que Seqrite acredita poder ser rastreado até a Tribo Transparente do Paquistão (também conhecida como APT36) é o servidor remoto que o coletivo usa.

A APT esteve envolvida em operações de coleta de inteligência contra o governo indiano e militares, recentemente.
Em agosto , o grupo foi observado como alvo de organizações governamentais e militares na Índia e no Afeganistão, infectando dispositivos USB.
Em julho, Transparent Tribe estava usando técnicas de captura de mel para atrair suas vítimas em organizações de defesa e outras organizações governamentais na Índia.

O que fazer?

Ataques à defesa e às forças armadas podem levar ao risco de perda de informações confidenciais que podem ser uma ferramenta crítica durante qualquer conflito regional. Os especialistas recomendam que as autoridades governamentais tomem medidas preventivas obrigatórias e antecipadas, como os sistemas automatizados de detecção / prevenção de intrusão (IDS / IPS).

Fonte: https://cyware.com/news/operation-sidecopy-targets-defense-forces-in-india-211170f6

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.