RusticWeb 行动：基于 Rust 语言编程的恶意软件针对印度政府实体

印度政府实体和国防部门已成为网络钓鱼活动的目标，该活动旨在投放基于 Rust 的恶意软件以进行情报收集。

该活动于 2023 年 10 月首次检测到，企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。

安全研究员 Sathwik Ram Prakki表示：“新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务器，而不是专用的命令和控制 (C2) 服务器。”

该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠，这两个集群均被评估为与巴基斯坦有关。

SEQRITE详细介绍了该黑客组织针对印度政府机构发起的多次活动，以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。

ThreatMon 记录的其他近期攻击链采用了 Microsoft PowerPoint 文件诱饵以及易受CVE-2023-38831影响的特制 RAR 存档来进行恶意软件传播，从而实现不受限制的远程访问和控制。

ThreatMon今年早些时候指出：“SideCopy APT 组织的感染链涉及多个步骤，每个步骤都经过精心策划，以确保成功入侵。”

最新的一组攻击从网络钓鱼电子邮件开始，利用社会工程技术诱骗受害者与恶意 PDF 文件进行交互，这些文件会丢弃基于 Rust 的有效负载，用于在后台枚举文件系统，同时向受害者显示诱饵文件。

除了收集感兴趣的文件外，该恶意软件还可以收集系统信息并将其传输到 C2 服务器，但缺乏地下网络犯罪中其他高级窃取恶意软件的功能。

SEQRITE 在 12 月发现的第二条感染链采用了类似的多阶段过程，但用负责枚举和渗透步骤的 PowerShell 脚本替换了 Rust 恶意软件。

但有趣的是，最后阶段的有效负载是通过名为“Cisco AnyConnect Web Helper”的 Rust 可执行文件启动的。收集到的信息最终上传到 oshi[.]at 域，这是一个名为OshiUpload的匿名公共文件共享引擎。

Ram Prakki 表示：“RusticWeb 行动可能与 APT 威胁有关，因为它与多个与巴基斯坦有关的组织有相似之处。”

近两个月前，Cyble 发现了DoNot 团队针对印度克什米尔地区个人使用的恶意 Android 应用程序。

攻击者也被称为 APT-C-35、Origami Elephant 和 SECTOR02，据信是印度裔，有利用Android 恶意软件渗透克什米尔和巴基斯坦移动设备的历史。

Cyble 检查的变种是名为“QuranApp: Read and Explore”的开源 GitHub 项目的木马版本，该项目配备了各种间谍软件功能，可以记录音频和 VoIP 通话、捕获屏幕截图、从各种应用程序收集数据，下载其他 APK 文件并跟踪受害者的位置。

Cyble表示：“DoNot 组织不断努力改进其工具和技术，这突显了他们所构成的持续威胁，特别是针对印度敏感的克什米尔地区的个人。”

参考链接：https://thehackernews.com/2023/12/operation-rusticweb-rust-based-malware.html