SideCopy поврзана со Пакистан го таргетира Министерството за финансии на Авганистан со Xeno RAT

Истражувачите за сајбер-безбедност открија детали за кампања на таргетирано фишинг-напад (spear phishing), најверојатно спроведена од групата SideCopy, поврзана со Пакистан, која го таргетирала Министерството за финансии на Авганистан користејќи тројанец за далечински пристап со отворен код наречен Xeno RAT.

„Кампањата започнува со испорака преку spear-phishing – ZIP-архива која содржи злонамерна LNK-датотека со внимателно осмислено име на паштунски јазик“, изјави истражувачот на Seqrite Labs, Диксит Панчал, во техничката анализа на активноста.

Покрај Министерството за финансии, цел на кампањата биле и покраинските дирекции за приходи и финансии, владини службеници што зборуваат паштунски јазик, како и вработени во покраинските владини институции. Кампањата е означена со кодното име Operation XENOFISCAL.

Изборот на паштунски јазик за мамката е намерна одлука на напаѓачите, бидејќи тој е еден од главните јазици што се користат во владините кругови во Авганистан. Овој аспект укажува на добро познавање на целната средина од страна на напаѓачите.

SideCopy е име дадено на група за сајбер-закани поврзана со Пакистан, која дејствува во рамките на пошироката група Transparent Tribe (позната и како APT36). Групата користи широк спектар на малициозни програми за кражба на чувствителни податоци од компромитирани системи.

Во април 2025 година, на оваа група ѝ беа припишани низа напади насочени кон различни сектори во Индија, при што беа користени Xeno RAT, Spark RAT и CurlBack RAT.

Гледано во тој контекст, најновата кампања претставува продолжение на поширок бран злонамерни сајбер-активности насочени кон организации и институции во Јужна Азија.

Откако ќе се изврши, Windows Shortcut (LNK) датотеката го користи процесот mshta.exe за да преземе оддалечена HTML Application (HTA) од компромитиран авганистански образовен домен, што доведува до извршување на обфусциран JavaScript код директно во меморијата. Малициозниот софтвер исто така воспоставува трајност (persistence) преку Windows Registry, претставувајќи се како Microsoft Edge, додека преку DLL-базиран вчитувач (loader) ги инсталира Xeno RAT 1.8.7 и лажен документ кој служи како одвлекување на вниманието на жртвата.

Xeno RAT е дизајниран да се поврзува со оддалечен сервер преку TCP за да прима и извршува команди испратени од операторот. Малициозниот софтвер поседува можности за:

• Вчитување и извршување надворешни DLL модули;
• Пренос на податоци кон командниот сервер;
• Автоматско стартување преку закажани задачи (Scheduled Tasks);
• Собирање информации за инсталирани антивирусни решенија;
• Мрежно тунелирање преку SOCKS5 прокси;
• Манипулација со датотеки (креирање, бришење, преместување);
• Евидентирање на притиснати тастери (keylogging);
• Снимање на екранот (screenshots);
• Следење на содржината на clipboard-от;
• Пристап до веб-камера и микрофон;
• Отстранување на механизмите за трајност;
• Само-деинсталација од заразениот систем.

Објавувањето на овие информации доаѓа во период кога се откриени детали за друга насочена фишинг-операција која користи злонамерни Linux .desktop датотеки за напад врз индиската воена инфраструктура. Во оваа кампања се користат мамки поврзани со договори за набавка на индиски оклопни возила. Истражувачите проценуваат дека и оваа операција е дело на групата Transparent Tribe.

„Кампањата изгледа е насочена кон лица поврзани со индискиот воен и одбранбен екосистем, користејќи социјален инженеринг преку WhatsApp и испорака на повеќестепени shell-платежни товари“, изјави истражувачот за безбедност R. D. Tarun во извештај објавен минатиот месец.

„Откако ќе се изврши, злонамерниот .desktop-покренувач иницира силно обфусциран синџир на инфекција базиран на shell-скрипти, кој вклучува преземање на повеќестепени payload-и, вградени рутини за декодирање и инсталација на ELF-малициозен софтвер развиен во Go (Golang), означен во извештајот како DeskRAT.“

Извори:

• The Hacker News – Pakistan-Linked SideCopy Targets Afghanistan Finance Ministry with Xeno RAT The Hacker News