В течение десятилетия хакерская группа, отслеживаемае как ModifiedElephant, использовала тактику, которая позволяла ей действовать в условиях строжайшей секретности, при этом компании, занимающиеся кибербезопасностью, не связывали точки между атаками.
Эта конкретная группа хакеров использует легкодоступные трояны с помощью целевого фишинга и с 2012 года нацелена на активистов-правозащитников, защитников свободы слова, ученых и юристов в Индии.
Вредоносные электронные письма продвигают кейлоггеры и трояны удаленного доступа, такие как NetWire и DarkComet, и даже вредоносное ПО для Android.
Исследователи SentinelLabs в сегодняшнем отчете подробно описывают тактику ModifiedElephant, объясняя, как недавно опубликованные данные помогли им определить ранее «бесхозные» атаки.
Наиболее надежным доказательством является дублирование инфраструктуры, наблюдавшееся в нескольких кампаниях в период с 2013 по 2019 год, а также согласованность развернутого вредоносного ПО.
ModifiedElephant использует фишинговые электронные письма с вредоносными вложениями уже более десяти лет, но за это время их методы развивались.
Ниже представлен обзор их прошлых операций с указанием некоторых вех эволюции:
2013 — использует вложения электронной почты с фальшивыми двойными расширениями (file.pdf.exe) для удаления вредоносного ПО.
2015 г. — группа переходит к защищенным паролем вложениям RAR, содержащим законные документы-приманки, на которые накладываются признаки выполнения вредоносных программ.
2019 — ModifiedElephant начинает размещать сайты с вредоносными программами и злоупотребляет услугами облачного хостинга, переключаясь с поддельных документов на вредоносные ссылки.
2020 г. — злоумышленники используют файлы RAR большого размера (300 МБ), чтобы избежать обнаружения, пропуская сканирование.
Во многих случаях в прикрепленных документах использовались известные эксплойты для выполнения вредоносных программ, включая CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 и CVE-2015-1641.
Что касается приманок, использовавшихся в этих кампаниях, то все они были связаны с политикой и часто очень точно подгонялись под цель.
