گروه تهدید همسو با هند تحت عنوان Dropping Elephant حمله سایبری پیچیدهای را علیه بخش دفاعی پاکستان با استفاده از یک تروجان از راه دور مبتنی بر پایتون پنهان شده در MSBuild، آغاز کرد.
این کمپین پیشرفته از طعمههای فیشینگ جعلی مرتبط با موضوعات دفاعی برای به خطر انداختن واحدهای تحقیق و توسعه نظامی و تأسیسات تدارکاتی مرتبط با شرکت ملی رادیو و مخابرات پاکستان استفاده میکند. این حمله به طور بی خطر با ایمیل فیشینگ حاوی آرشیو ZIP مخرب آغاز میشود. پس از دانلود این آرشیو شامل فایل پروژه MSBuild است که به عنوان دراپر اولیه عمل میکند، همراه با PDF فریبنده که طوری طراحی شده است که قانونی به نظر برسد. هنگام اجرا، دراپر شروع به دانلود چندین جزء در دایرکتوری Windows Tasks میکند و از طریق وظایف برنامهریزی شده با نامهای به ظاهر قانونی مانند KeyboardDrivers و MsEdgeDrivers پایداری ایجاد میکند.
Dropping Elephant از تکنیکهای پیشرفته مبهمسازی در سراسر زنجیره آلودگی استفاده کرده است و از رمزگذاری معکوس UTF برای بازسازی رشتهها و وضوح پویای API برای جلوگیری از شناسایی توسط ابزارهای امنیتی استفاده کرده است. پیشرفت فنی قابل توجهی را در استفاده از ابزارهای قانونی ویندوز به عنوان بخشی از زیرساخت حمله آنها نشان میدهد. رویکرد این گروه، پیشرفت قابل توجهی را در استفاده از ابزارهای قانونی ویندوز به عنوان بخشی از زیرساخت حمله آنها نشان میدهد.
https://cybersecuritynews.com/dropping-elephant-hacker-group-attacks-defense-sector/
