Actores de amenazas vinculados a Pakistán vinculados a una campaña de malware de larga duración denominada Operación Fuerza Celestial Al menos desde 2018.
Esta actividad aún en curso utiliza malware de Android llamado GravityRAT y un cargador de malware basado en Windows con nombre en código HeavyLift que se administra mediante otra herramienta independiente llamada GravityAdmin, según Cisco Talos.
Cybersecurity atribuyó la intrusión a un seguimiento rival bajo el nombre de Cosmic Leopard (Spacecobra), diciendo que exhibe cierto grado de superposición estratégica con la tribu Transparente.
«La Operación Fuerza Celestial ha estado activa desde al menos 2018 y continúa operando hoy, en gran medida utilizando un conjunto de malware en expansión y evolución, lo que indica que la operación ha tenido un alto grado de éxito apuntando a usuarios en el subcontinente indio», dijeron los investigadores de seguridad Ashir Malhotra. y Vítor Ventura. Dicho En un informe técnico compartido con The Hacker News.
GravityRAT salió a la luz por primera vez en 2018 como un malware de Windows dirigido a entidades indias a través de correos electrónicos de phishing, con características en constante evolución para extraer información confidencial de hosts comprometidos. Desde entonces, el malware ha sido adaptado para funcionar en los sistemas operativos Android y macOS, lo que lo convierte en una herramienta multiplataforma.
Investigaciones adicionales de Meta y ESET el año pasado encontraron un uso continuo de la versión Android de GravityRAT para atacar al personal militar en India y la Fuerza Aérea de Pakistán haciéndose pasar por aplicaciones de almacenamiento, entretenimiento y chat en la nube.
Los hallazgos de Cisco Talos reúnen todas estas actividades dispares pero relacionadas bajo un paraguas común, impulsado por evidencia que apunta al uso de Gravity Admin por parte del actor de amenazas para orquestar estos ataques.
Teniendo en cuenta que Cosmic Cheetah utiliza principalmente phishing e ingeniería social, indica a los posibles objetivos que descarguen un programa inofensivo que elimina GravityRAT o HeavyLift, según el sistema operativo utilizado, antes de enviarles un enlace a un sitio malicioso para establecer confianza con ellos. .
GravityRAT se utilizó en 2016. GravityAdmin, por otro lado, es un binario utilizado para controlar sistemas infectados desde al menos agosto de 2021 mediante el establecimiento de conexiones con GravityRAT y los servidores de comando y control (C2) de HeavyLift. .
«GravityAdmin contiene múltiples interfaces de usuario (UI) integradas que se adaptan a campañas específicas, con nombres en código, ejecutadas por operadores maliciosos», señalaron los investigadores. «Por ejemplo, 'FOXTROT', 'CLOUDINFINITY' y 'CHATICO' son los nombres dados a todas las infecciones de GravityRot basadas en Android, mientras que 'craftwithm', 'sexyber' y 'cvscout' son nombres para los ataques que implementan el peso pesado».
Un componente recientemente descubierto del arsenal de un actor de amenazas es Heavylift, una familia de cargadores de malware basados en Electron que se distribuyen a través de instaladores maliciosos dirigidos al sistema operativo Windows. También tiene similitudes con las versiones Electron de Gravitirat que Kaspersky documentó previamente en 2020.
El malware, una vez lanzado, puede recopilar y exportar metadatos del sistema a un servidor C2 codificado, que luego sondea periódicamente el servidor para ejecutar cualquier carga útil nueva en el sistema. Es más, también está diseñado para realizar funciones similares en macOS.
«Esta operación de varios años apuntó continuamente a organizaciones e individuos indios en los sectores de defensa, gobierno y tecnología relacionada», dijeron los investigadores.
«Orgulloso pionero de Twitter. Analista. Comunicador. Geek web profesional. Especialista en música de por vida».