Ранее неизвестная хакерская группировка оказалась связана с целевыми атаками на правозащитников, ученых и юристов по всей Индии в попытке подбросить на их устройтсва «уличающие цифровые материалы».
Компания по кибербезопасности SentinelOne приписывает вторжения группе, которую она отслеживает как «ModifiedElephant», неуловимых злоумышленников, действующих как минимум с 2012 года, чья деятельность якобы совпадает с государственными интересами Индии.
«ModifiedElephant действует с помощью коммерческих троянов удаленного доступа и имеет потенциальные связи с индустрией коммерческой слежки» - заявили исследователи. «Группа использует фишинг с помощью вредоносных документов для доставки вредоносного ПО, такого как NetWire, DarkComet и простые кейлоггеры».
Основной целью ModifiedElephant является облегчение долгосрочного наблюдения за целевыми лицами, что в конечном итоге приводит к доставке «улик» на взломанные системы жертв с целью подставить и заключить в тюрьму уязвимых противников.
Среди целей атак - лица, связанные с беспорядками в Бхима Корегаон в индийском штате Махараштра в 2018 году, сообщается в отчете исследователей SentinelOne Тома Хегеля и Хуана Андреса Герреро-Сааде.
Цепочки атак включают заражение целей - некоторых из них по несколько раз в течение одного дня - с помощью фишинговых писем, посвященных темам активизма, изменения климата и политики и содержащих вредоносные вложения Microsoft Office или ссылки на файлы, размещенные на внешних ресурсах, которые оснащены вредоносным ПО, способным взять под контроль компьютеры жертв.
«В фишинговых письмах используется множество подходов для создания видимости легитимности» - заявляют исследователи. «Сюда входит поддельное содержимое с историей пересылки, содержащей длинные списки получателей, оригинальные списки получателей электронной почты с множеством учетных записей или просто многократная повторная рассылка вредоносного ПО с использованием новых электронных писем или документов-приманок».
Также с помощью фишинговых писем распространяется неопознанный троян, нацеленный на Android, который позволяет злоумышленникам перехватывать и управлять данными SMS и звонков, стирать или разблокировать устройства, выполнять сетевые запросы и удаленно управлять зараженными устройствами. SentinelOne охарактеризовал его как «идеальный недорогой набор инструментов для мобильного наблюдения».
«Эта группа действовала в течение многих лет, ускользая от внимания исследователей из-за ограниченного масштаба операций, обыденного характера своих инструментов и региональной направленности» - заявили исследователи.
Источник: https://thehackernews.com
