Cybertheat.id – Kampanye spear-phishing yang menargetkan entitas pemerintah India bertujuan untuk menyebarkan versi terbaru dari pintu belakang yang disebut ReverseRAT.

Dikutip dari The Hacker News, perusahaan cybersecurity ThreatMon mengaitkan aktivitas tersebut dengan aktor ancaman yang dilacak sebagai SideCopy.

SideCopy adalah kelompok ancaman asal Pakistan yang berbagi tumpang tindih dengan aktor lain yang disebut Suku Transparan. Dinamai demikian untuk meniru rantai infeksi yang terkait dengan SideWinder untuk mengirimkan malware-nya sendiri.

Kelompok ini pertama kali diamati mengirimkan ReverseRAT pada tahun 2021, ketika Lumen's Black Lotus Labs merinci serangkaian serangan yang menargetkan korban yang selaras dengan vertikal pemerintah dan utilitas listrik di India dan Afghanistan.

Kampanye serangan baru-baru ini terkait dengan SideCopy terutama mengarahkan pandangan mereka pada solusi otentikasi dua faktor yang dikenal sebagai Kavach (artinya "baju besi" dalam bahasa Hindi) yang digunakan oleh pejabat pemerintah India.

Perjalanan infeksi yang didokumentasikan oleh ThreatMon dimulai dengan email phishing yang berisi dokumen Word yang mendukung makro ("Cyber Advisory 2023.docm"). File tersebut menyamar sebagai penasehat palsu dari Kementerian Komunikasi India tentang "Ancaman dan Pencegahan Android". Yang mengatakan, sebagian besar konten telah disalin kata demi kata dari peringatan aktual yang diterbitkan oleh departemen pada Juli 2020 tentang praktik keamanan siber terbaik.

Setelah file dibuka dan makro diaktifkan, ini memicu eksekusi kode berbahaya yang mengarah ke penerapan ReverseRAT pada sistem yang disusupi.

“Setelah ReverseRAT mendapatkan persistensi, itu menghitung perangkat korban, mengumpulkan data, mengenkripsinya menggunakan RC4, dan mengirimkannya ke server command-and-control (C2),” kata perusahaan itu dalam sebuah laporan yang diterbitkan minggu lalu.

Mereka akan menunggu perintah untuk dieksekusi pada mesin target, dan beberapa fungsinya termasuk mengambil tangkapan layar, mengunduh dan mengeksekusi file, dan mengunggah file ke server C2.