Παράγοντες απειλών με δεσμούς με το Πακιστάν έχουν εμπλακεί σε μια εκστρατεία κακόβουλου λογισμικού (malware) γνωστή ως Operation Celestial Force από το 2018.
Αυτή η δραστηριότητα, η οποία παραμένει σε εξέλιξη, περιλαμβάνει τη χρήση του κακόβουλου λογισμικού Android GravityRAT και ενός loader κακόβουλου λογισμικού για Windows με την ονομασία HeavyLift, σύμφωνα με τη Cisco Talos. Αυτά τα εργαλεία διαχειρίζονται μέσω ενός άλλου αυτόνομου εργαλείου που ονομάζεται GravityAdmin.
Διαβάστε επίσης: Το νέο Cross-Platform «Noodle RAT» Malware στοχεύει Windows και Linux
Η εισβολή οφείλεται, σύμφωνα με πληροφορίες, σε έναν χάκερ με το όνομα Cosmic Leopard (γνωστός και ως SpaceCobra), ο οποίος παρουσιάζει ομοιότητες με την Transparent Tribe. “Η Operation Celestial Force είναι ενεργή από το 2018 και συνεχίζει να λειτουργεί με ένα συνεχώς αναπτυσσόμενο και εξελισσόμενο κακόβουλο λογισμικό, υποδηλώνοντας ότι η επιχείρηση έχει πιθανώς σημειώσει υψηλό βαθμό επιτυχίας στοχεύοντας χρήστες στην Ινδική υποήπειρο,” ανέφεραν οι ερευνητές ασφαλείας Asheer Malhotra και Vitor Venturaσε μια αναφορά που κοινοποιήθηκε στο The Hacker News.
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
Το GravityRAT πρωτοεμφανίστηκε το 2018 ως κακόβουλο λογισμικό για Windows που στοχεύει ινδικές οντότητες μέσω spear-phishing emails, με δυνατότητες συλλογής ευαίσθητων πληροφοριών από παραβιασμένους υπολογιστές. Από τότε, το κακόβουλο λογισμικό έχει προσαρμοστεί για να λειτουργεί σε Android και macOS, μετατρέποντάς το σε ένα εργαλείο πολλαπλών πλατφορμών.
Μεταγενέστερα ευρήματα από τη Meta και την ESET πέρυσι αποκάλυψαν τη συνεχιζόμενη χρήση της έκδοσης Android του GravityRAT για τη στόχευση στρατιωτικού προσωπικού στην Ινδία και στην Πολεμική Αεροπορία του Πακιστάν, μεταμφιεσμένης ως εφαρμογές αποθήκευσης cloud, ψυχαγωγίας και συνομιλίας.
Διαβάστε περισσότερα: Το malware Warmcookie προωθείται μέσω ψεύτικων προσφορών εργασίας
Τα ευρήματα της Cisco Talos συγκεντρώνουν όλες αυτές τις ανόμοιες αλλά σχετικές δραστηριότητες, βασισμένες σε στοιχεία που υποδεικνύουν τη χρήση του GravityAdmin από τον παράγοντα απειλών για την ενορχήστρωση αυτών των επιθέσεων.
Το Cosmic Leopard χρησιμοποιεί κυρίως spear-phishing και κοινωνική μηχανική (social engineering) για να δημιουργήσει εμπιστοσύνη με πιθανούς στόχους, πριν τους στείλει έναν σύνδεσμο προς έναν κακόβουλο ιστότοπο που τους καθοδηγεί να κατεβάσουν ένα φαινομενικά αβλαβές πρόγραμμα που εγκαθιστά το GravityRAT ή το HeavyLift, ανάλογα με το λειτουργικό σύστημα που χρησιμοποιείται.
Το GravityRAT φέρεται να είναι σε χρήση από το 2016. Από την άλλη πλευρά, το GravityAdmin είναι ένα δυαδικό σύστημα που χρησιμοποιείται για τη διαχείριση μολυσμένων συστημάτων τουλάχιστον από τον Αύγουστο του 2021, δημιουργώντας συνδέσεις με τους servers Command-and-Control (C2) των GravityRAT και HeavyLift.
Δείτε ακόμη: Phishing επιθέσεις: Σημαντική αύξηση σε ΗΠΑ και Ευρώπη
«Το GravityAdmin περιλαμβάνει πολλαπλές ενσωματωμένες διεπαφές χρήστη (UIs), που αντιστοιχούν σε συγκεκριμένες, κακόβουλες εκστρατείες», σημείωσαν οι ερευνητές. “Για παράδειγμα, τα “FOXTROT”, “CLOUDINFINITY” και “CHATICO” είναι ονόματα που αποδίδονται σε όλες τις μολύνσεις GravityRAT που βασίζονται σε Android, ενώ τα “CRAFTWITHME”, “SEXYBER” και “CVSCOUT” είναι ονόματα για επιθέσεις που χρησιμοποιούν το HeavyLift.”
Το στοιχείο αυτό, που πρόσφατα ανακαλύφθηκε στο οπλοστάσιο του χάκερ είναι το HeavyLift, μια οικογένεια φόρτωσης κακόβουλου λογισμικού που βασίζεται σε Electron και διανέμεται μέσω κακόβουλων προγραμμάτων εγκατάστασης που στοχεύουν το λειτουργικό σύστημα Windows. Έχει επίσης ομοιότητες με τις εκδόσεις Electron του GravityRAT, που είχαν τεκμηριωθεί προηγουμένως από την Kaspersky το 2020.
Το κακόβουλο λογισμικό, μόλις ξεκινήσει, είναι σε θέση να συλλέγει και να εξάγει μεταδεδομένα του συστήματος σε έναν σκληρά κωδικοποιημένο server C2, μετά από περιοδική δημοσκόπηση του server για τυχόν νέα ωφέλιμα φορτία που θα εκτελεστούν στο σύστημα. Επιπλέον, έχει σχεδιαστεί για να εκτελεί παρόμοιες λειτουργίες και στο macOS.
Δείτε επίσης: Νέα εργαλειοθήκη phishing χρησιμοποιεί PWA για κλοπή login credentials
«Αυτή η πολυετής επιχείρηση στόχευε συνεχώς ινδικές οντότητες και άτομα που πιθανότατα ανήκουν σε αμυντικούς, κυβερνητικούς και τεχνολογικούς χώρους», δήλωσαν οι ερευνητές.
Πηγή: thehackernews
 γνωστή ως Operation Celestial Force από το 2018.){kind=link}