自2018年以来,与巴基斯坦有关的威胁行动者与一个被称为“天体力量行动”(Operation Celestial Force)的长期恶意软件活动有关。这一活动仍在进行中,涉及使用名为GravityRAT的Android恶意软件和一个名为HeavyLift的Windows基础恶意软件加载器,根据Cisco Talos的报告,这些恶意软件是通过另一个独立的工具GravityAdmin进行管理的。
网络安全研究人员将这次入侵归因于他们追踪的一个名为Cosmic Leopard(也称为SpaceCobra)的对手,该对手表现出与Transparent Tribe在战术上有一定程度的重叠。
"天体力量行动自2018年以来一直活跃,并持续至今——不断利用不断扩展和演变的恶意软件套件——表明该行动在针对印度次大陆的用户方面可能取得了高度成功,"安全研究人员Asheer Malhotra和Vitor Ventura在与The Hacker News分享的技术报告中说。
GravityRAT最初在2018年作为一种针对印度实体的Windows恶意软件出现,通过鱼叉式钓鱼邮件传播,拥有不断发展的功能集,以从被攻击的主机中收集敏感信息。自那时以来,该恶意软件已被移植到Android和macOS操作系统上,使其成为一种多平台工具。
去年Meta和ESET的后续发现揭示了GravityRAT的Android版本继续被用于针对印度的军事人员以及巴基斯坦空军,通过伪装成云存储、娱乐和聊天应用程序。
Cisco Talos的发现将所有这些不同但相关的活动统一在一个共同的伞下,由证据驱动,指向威胁行动者使用GravityAdmin来协调这些攻击。
Cosmic Leopard主要被观察到使用鱼叉式钓鱼和社会工程学来与潜在目标建立信任,然后发送给他们一个恶意网站的链接,指示他们下载一个看似无害的程序,该程序会根据使用的操作系统下载GravityRAT或HeavyLift。
GravityRAT据说早在2016年就被使用。另一方面,GravityAdmin是一个自2021年8月以来用于指挥感染系统的二进制文件,通过与GravityRAT和HeavyLift的命令和控制(C2)服务器建立连接。
"GravityAdmin包含多个内置用户界面(UI),对应于恶意操作者操作的特定、代号命名的活动,"研究人员指出。"例如,'FOXTROT'、'CLOUDINFINITY'和'CHATICO'是所有基于Android的GravityRAT感染的名称,而'CRAFTWITHME'、'SEXYBER'和'CVSCOUT'是部署HeavyLift的攻击的名称。"
威胁行动者武库中新发现的组成部分是HeavyLift,这是一个基于Electron的恶意软件加载器家族,通过针对Windows操作系统的恶意安装程序进行分发。它还与Kaspersky在2020年记录的GravityRAT的Electron版本有相似之处。
一旦启动,该恶意软件能够收集并导出系统元数据到硬编码的C2服务器,并定期轮询服务器以获取要在系统上执行的新负载。此外,它还被设计为在macOS上执行类似功能。
"这项多年的行动持续针对印度实体和可能属于国防、政府和相关技术领域的个人,"研究人员说。
