Кампании по борьбе с вредоносным ПО SideCopy расширяются и развиваются. [Исследовательская суббота]

Приглашенный гость Asheer Malhotra, исследователь по вопросам угроз из группы Cisco Talos Intelligence Group, присоединяется к Дейву, чтобы обсудить исследование его команды под названием "InSideCopy: Как эта APT продолжает развивать свой арсенал." Cisco Talos наблюдал расширение активности кампаний по распространению вредоносного ПО SideCopy, нацеленных на организации в Индии. В прошлом злоумышленники использовали вредоносные файлы LNK и документы для распространения своего основного RAT на языке C#. Мы называем это вредоносное ПО "CetaRAT". SideCopy также сильно полагается на использование RAT Allakore, общедоступного RAT на языке Delphi. Однако недавняя активность группы указывает на увеличение их разработок. Talos обнаружил несколько новых семейств RAT и плагинов, которые в настоящее время используются в цепочках инфицирования SideCopy. Способы и темы, наблюдаемые в кампаниях SideCopy, демонстрируют высокую степень сходства с APT Transparent Tribe (также известной как APT36), также нацеленной на Индию. Среди них есть использование приманок, выдающих себя за оперативные документы военных и исследовательских центров, и инфекции на основе "медовых ловушек". Исследование можно найти по следующим ссылкам: Блог-пост "InSideCopy: Как эта APT продолжает развивать свой арсенал" Отчет "InSideCopy: Как эта APT продолжает развивать свой арсенал"