Operazione RusticWeb: Malware basato su Rust prende di mira le entità del governo indiano
Operazione RusticWeb: Malware Rust mira al Governo Indiano
Le entità governative indiane e il settore della difesa sono stati presi di mira da una campagna di phishing progettata per diffondere malware basato su Rust al fine di raccogliere informazioni di intelligence. L’attività, individuata per la prima volta nell’ottobre 2023, è stata denominata Operazione RusticWeb dalla società di sicurezza aziendale SEQRITE.
Il malware Rust, utilizzando nuovi carichi e comandi PowerShell criptati, è stato impiegato per esfiltrare documenti confidenziali verso un motore di servizio web. Tale approccio differisce dall’utilizzo di un tradizionale server di comando e controllo (C2) dedicato.
Le sovrapposizioni tattiche tra questo cluster e altri come Transparent Tribe e SideCopy, entrambi collegati al Pakistan, sono state individuate. SideCopy è sospettato di essere una componente di Transparent Tribe. In precedenza, SEQRITE ha rivelato diverse campagne che hanno colpito enti governativi indiani, distribuendo trojan come AllaKore RAT, Ares RAT e DRat.
Attacchi recenti documentati da ThreatMon hanno sfruttato file decoy di Microsoft PowerPoint e archivi RAR vulnerabili, consentendo accesso e controllo remoto illimitati.
L’Operazione RusticWeb inizia con una email di phishing che induce le vittime a interagire con file PDF dannosi, diffondendo carichi Rust per enumerare il sistema di file in background.
Oltre alla raccolta di file d’interesse, il malware raccoglie informazioni di sistema e le trasmette al server C2, tuttavia non possiede le capacità di altri malware avanzati presenti nel mondo criminale informatico.
Una variante dell’attacco utilizza uno script PowerShell, sostituendo il malware Rust, che si occupa delle fasi di enumerazione ed esfiltrazione. Curiosamente, il payload della fase finale è lanciato tramite un eseguibile Rust denominato “Cisco AnyConnect Web Helper”. Le informazioni raccolte vengono poi caricate su oshi[.]at, un motore anonimo di condivisione file.
L’Operazione RusticWeb è potenzialmente collegata a una minaccia APT, evidenziando somiglianze con gruppi legati al Pakistan.
La scoperta arriva dopo che Cyble ha identificato un’applicazione Android malevola utilizzata dal team DoNot per attaccare individui nella regione del Kashmir in India, evidenziando la continua minaccia di questo gruppo nel mirare a persone in regioni sensibili.