Ένας παράγοντας απειλής, γνωστός ως SloppyLemming, που πιθανότατα δραστηριοποιείται εκτός Ινδίας βασίζεται σε διάφορες υπηρεσίες cloud για τη διεξαγωγή κυβερνοεπιθέσεων εναντίον οντοτήτων ενέργειας, άμυνας, κυβέρνησης, τηλεπικοινωνιών και τεχνολογίας στο Πακιστάν, σύμφωνα με την Cloudflare.
Δείτε επίσης: Η CMS αναφέρει παραβίαση 3,1 εκατομμυρίων δεδομένων
Οι δρασητριότητες του ομίλου SloppyLemming, ευθυγραμμίζονται με τον Outrider Tiger, έναν παράγοντα απειλής που η CrowdStrike είχε προηγουμένως συνδέσει με την Ινδία και ο οποίος είναι γνωστός για τη χρήση πλαισίων εξομοίωσης αντιπάλου, όπως το Sliver και το Cobalt Strike στις επιθέσεις του.
Από το 2022, η ομάδα hacking SloppyLemming έχει παρατηρηθεί ότι βασίζεται σε Cloudflare Workers για εκστρατείες κατασκοπείας που στοχεύουν το Πακιστάν και άλλες χώρες της Νότιας και Ανατολικής Ασίας, όπως το Μπαγκλαντές, η Κίνα, το Νεπάλ και η Σρι Λάνκα. Το Cloudflare έχει εντοπίσει 13 εργαζομένους που σχετίζονται με τον παράγοντα απειλής.
Σύμφωνα με την Cloudflare, φαίνεται ότι η ομάδα ενδιαφέρεται ιδιαίτερα να παραβιάσει τα πακιστανικά αστυνομικά τμήματα και άλλους οργανισμούς επιβολής του νόμου και πιθανώς να στοχεύσει οντότητες που σχετίζονται με τη μοναδική εγκατάσταση πυρηνικής ενέργειας του Πακιστάν.
Δείτε ακόμα: Κυβερνοεπίθεση προκαλεί διακοπή της υπηρεσίας MoneyGram
Χρησιμοποιώντας μηνύματα ηλεκτρονικού phishing, ο παράγοντας απειλών παραδίδει κακόβουλους συνδέσμους στα θύματά του, βασιζόμενος σε ένα προσαρμοσμένο εργαλείο που ονομάζεται CloudPhish για να δημιουργήσει ένα κακόβουλο Cloudflare Worker για συλλογή και εξαγωγή διαπιστευτηρίων και χρησιμοποιεί σενάρια για τη συλλογή email ενδιαφέροντος από τους λογαριασμούς των θυμάτων.
Σε ορισμένες επιθέσεις, το SloppyLemming θα επιχειρούσε επίσης να συλλέξει διακριτικά Google OAuth, τα οποία παραδίδονται στον κακόβουλο παράγοντα μέσω Discord. Κακόβουλα αρχεία PDF και Cloudflare Workers θεωρήθηκαν ότι χρησιμοποιούνται ως μέρος της αλυσίδας επιθέσεων.
Παρατηρήθηκε επίσης το SloppyLemming να παραδίδει μηνύματα ηλεκτρονικού spear-phishing ως μέρος μιας αλυσίδας επίθεσης που βασίζεται σε κώδικα που φιλοξενείται σε ένα αποθετήριο GitHub που ελέγχεται από τους εισβολείς για να ελέγξει πότε το θύμα έχει πρόσβαση στον σύνδεσμο phishing. Το κακόβουλο λογισμικό που παραδίδεται ως μέρος αυτών των επιθέσεων επικοινωνεί με ένα Cloudflare Worker που αναμεταδίδει αιτήματα στον διακομιστή εντολών και ελέγχου (C&C) των εισβολέων.
Δείτε επίσης: Η Deloitte αρνείται ότι κινδυνεύουν δεδομένα χρηστών μετά την παραβίαση
Οι κυβερνοεπιθέσεις, όπως αυτές της ομάδας SloppyLemming εναντίον του Πακιστάν, αποτελούν μια σημαντική απειλή στην ψηφιακή εποχή που διανύουμε, καθώς μπορούν να στοχεύσουν από μεμονωμένους χρήστες έως και μεγάλες εταιρείες. Αυτές οι επιθέσεις συχνά περιλαμβάνουν την προσπάθεια πρόσβασης σε ευαίσθητες πληροφορίες ή την παραβίαση ηλεκτρονικών συστημάτων, προκαλώντας σοβαρές χρηματικές και ηθικές ζημιές. Τα είδη των κυβερνοεπιθέσεων ποικίλλουν, περιλαμβάνοντας επιθέσεις malware, phishing, ransomware και DDoS. Η προστασία έναντι των κυβερνοεπιθέσεων απαιτεί συνεχείς προσπάθειες και την υιοθέτηση αποτελεσματικών πρακτικών ασφαλείας, όπως η χρήση ισχυρών κωδικών πρόσβασης, τακτικές ενημερώσεις ασφαλείας και εκπαίδευση των χρηστών για αναγνώριση των απειλών.
Πηγή: securityweek
