« Les fichiers intégrés sont adaptés pour cibler les responsables gouvernementaux et militaires basés en Afghanistan et en Inde ».
Thehackernews.com a déclaré dans son rapport que la révélation suivait de près les révélations selon lesquelles Meta avait pris des mesures pour bloquer les activités malveillantes menées par le groupe sur sa plate-forme en utilisant des leurres romantiques pour compromettre des individus ayant des liens avec le gouvernement afghan, l’armée et la loi. application à Kaboul.
Certaines des attaques les plus importantes ont été menées contre le personnel associé au bureau administratif du président (AOP) de l’Afghanistan ainsi qu’au ministère des Affaires étrangères, au ministère des Finances et à l’Autorité nationale des marchés publics, entraînant le vol de mots de passe et de réseaux sociaux. documents protégés par mot de passe.
“SideCopy a également fait irruption dans un ordinateur partagé en Inde et a collecté des informations d’identification auprès des services gouvernementaux et éducatifs”, a déclaré le rapport.
En outre, l’acteur aurait siphonné plusieurs documents Microsoft Office, y compris les noms, numéros et adresses e-mail de fonctionnaires et des bases de données contenant des informations relatives aux cartes d’identité, aux visas diplomatiques et aux enregistrements d’actifs sur les sites Web du gouvernement afghan, qui sont tous devraient être utilisés comme de futurs leurres ou pour alimenter de nouvelles attaques contre les individus eux-mêmes.
La campagne de cyberespionnage observée par Malwarebytes implique que la cible ouvre le document leurre, conduisant à l’exécution d’un chargeur utilisé pour supprimer un cheval de Troie d’accès à distance appelé ActionRAT, capable de télécharger des fichiers, d’exécuter des commandes reçues d’un serveur, et même télécharger plus de charges utiles.
Le chargeur a également laissé tomber un nouveau voleur d’informations baptisé AuTo Stealer, qui est programmé pour collecter des fichiers Microsoft Office, des documents PDF, des fichiers texte, des fichiers de base de données et des images avant d’exfiltrer les informations sur son serveur via HTTP ou TCP.
“C’est loin d’être la première fois que les tactiques de SideCopy APT sont révélées. En septembre 2020, la société de cybersécurité Quick Heal a révélé des détails sur une attaque d’espionnage visant des unités de défense indiennes et le personnel des forces armées au moins depuis 2019 dans le but de voler des informations sensibles “, a déclaré le rapport de thehackernews.com.
Plus tôt en juillet, les chercheurs de Cisco Talos ont exposé la myriade de chaînes d’infection du groupe de piratage fournissant des chevaux de Troie d’accès à distance sur mesure et de base tels que CetaRAT, Allakore et njRAT dans ce qu’ils ont appelé une expansion des campagnes de logiciels malveillants ciblant des entités en Inde. ()
