SideCopy APT kampány
A SideCopy APT egy pakisztáni fenyegetési szereplő, amelyet 2019-ben azonosítottak, és a dél-ázsiai országokra, különösen Indiára és Afganisztánra összpontosít. A SideCopy APT nevét a fertőzési láncról kapta, amely utánozza a SideWinder APT-t. Egyes jelentések azt sugallják, hogy ez a szereplő hasonló tulajdonságokkal rendelkezik, mint az Transparent Tribe (APT36), és potenciálisan ennek a fenyegető szereplőnek egy alcsoportja lehet.
A Cyble Research and Intelligence Labs (CRIL) rábukkant egy Twitter–bejegyzésre, amely a SideCopy APT egy jelenleg zajló kampányáról szólt az indiai kormány Védelmi Kutatási és Fejlesztési Szervezet (Defence Research and Development Organisation) ellen, ami egy kormányzati ügynökség, amelynek feladata az indiai fegyveres erők technológiai kutatási és fejlesztési szervezete. Fókuszában a magas színvonalú védelmi rendszerek, például rakéták, radarok, elektronikus hadviselés és kommunikációs rendszerek, haditengerészeti és légiközlekedési rendszerek létrehozása áll. Az ügynökség jelentős szerepet játszik India védelmi iparában, hozzájárulva az ország katonai erejéhez és védelmi technológiai önellátásához. A kezdeti fertőzés a feltört webhelyen tárolt rosszindulatú fájlra mutató hivatkozást tartalmazó spam e-maillel kezdődik. A SideCopy egy APT csoport, amely a Sidewinder APT taktikáját emulálja saját rosszindulatú programjainak terjesztésére. Támadási mintái jellemzően rosszindulatú LNK-fájlok használatával több HTA-t és betöltő DLL-t használva összetett fertőzési láncot indítanak el, ami végül a végső hasznos terhelések telepítéséhez vezet.
A SideCopy APT csoport folyamatosan fejleszti technikáit, miközben új eszközöket épít be arzenáljába. A Cyble megadta az azonosításhoz szükséges mutatókat.