Operation Celestial Force
A Cisco Talos egy új, Operation Celestial Force nevű, legalább 2018 óta futó rosszindulatú szoftverkampányt ismertet. A kampány még ma is aktív, és a GravityRAT, egy Android-alapú rosszindulatú szoftver, valamint egy Windows-alapú rosszindulatú betöltőprogram használatát alkalmazza, amelyet HeavyLift néven követnek nyomon.
Minden GravityRAT és HeavyLift fertőzést egy a GravityAdmin-nak nevezett önálló eszköz kezel, amely rosszindulatú tevékenységeket végez a fertőzött eszközön. A panel bináris állományainak elemzéséből kiderül, hogy egyszerre több kampány adminisztrálására és futtatására szolgálnak, amelyek mindegyike kódnevet és saját admin panelt kap.
A Talos ezt a műveletet nagy valószínűséggel az általunk Cosmic Leopard-nak nevezett fenyegető szereplők pakisztáni nexusának tulajdonítja, amely a kémkedésre és a célpontjaik megfigyelésére összpontosít. Ez a többéves művelet folyamatosan indiai szervezeteket és személyeket célzott meg, amelyek valószínűleg a védelmi, kormányzati és kapcsolódó technológiai területekhez tartoznak. A Talos eredetileg 2018-ban hozta nyilvánosságra a Windows-alapú GravityRAT rosszindulatú szoftver feltételezett pakisztáni fenyegető szereplők általi használatát – amelyet szintén indiai szervezetek célpontjaira használtak.
Bár ez a művelet legalább az elmúlt hat évben aktív volt, a Talos az elmúlt években általános fellendülést figyelt meg a fenyegetések terén, ami a nagy értékű célpontok elleni kémkedésre használt mobil rosszindulatú szoftverek használatát illeti, beleértve a kereskedelmi kémprogramok használatát is.
A Talos nagy valószínűséggel úgy ítéli meg, hogy az Operation Celestial Force (Mennyei erő hadművelet) néven csoportosított kampánysorozatot pakisztáni fenyegető szereplők egy csoportja vezeti. A Cosmic Leopard taktikája, technikái, eszköztára és viktimológiája bizonyos átfedéseket mutat a Transparent Tribe, egy másik feltételezett pakisztáni APT-csoport taktikájával, amely már korábban is célba vett nagy értékű személyeket az indiai szubkontinensen. Egyelőre azonban nincs elegendő technikai bizonyítékunk ahhoz, hogy a két fenyegető szereplőt összekapcsoljuk, ezért ezt a tevékenységcsoportot a Cosmic Leopard címke alatt követjük nyomon.
Az Operation Celestial Force legalább 2018 óta aktív, és ma is működik – egyre inkább egy bővülő és fejlődő kártevőcsomagot használva -, ami azt jelzi, hogy a művelet valószínűleg nagyfokú sikert ért el az indiai szubkontinens felhasználóit megcélozva. A Cosmic Leopard kezdetben a műveletet a Windows-alapú GravityRAT rosszindulatú dokumentumokon (maldocs) keresztül terjesztett GravityRAT kártevőcsalád létrehozásával és telepítésével kezdte. A Cosmic Leopard ezután létrehozta a GravityRAT Android-alapú verzióit, hogy kiszélesítse a fertőzések hálóját, és 2019 körül már a mobileszközöket célozza meg. Ugyanebben az évben a Cosmic Leopard is kibővítette arzenálját, hogy a HeavyLift kártevőcsaládot használja kártevő betöltőként. A HeavyLift elsősorban rosszindulatú telepítőkbe csomagolt, amelyeket olyan célpontoknak küldenek, akiket a social engineering technikák segítségével rávesznek a kártevő futtatására.
A többéves művelet néhány kampányát nyilvánosságra hozták, és korábbi jelentésekben lazán pakisztáni fenyegető szereplőknek tulajdonították. Eddig azonban kevés bizonyíték volt arra, hogy az összeset összekapcsolják. A művelet minden egyes kampányát a fenyegető szereplő kódnevezte, és az általunk “GravityAdmin”-nak nevezett, egyedi fejlesztésű panel binárisok segítségével kezelték/adminisztrálták.
A Cosmic Leopardhoz hasonló ellenfelek alacsony szintű technikákat használhatnak, mint például a social engineering és a spear phishing, de agresszívan célozzák meg a potenciális áldozatokat különböző TTP-kkel. Ezért a szervezeteknek ébernek kell maradniuk az ilyen motivált, célzott támadásokat végrehajtó ellenfelekkel szemben, a felhasználók megfelelő kiberhigiéniai oktatásával és a különböző támadási felületeket érintő, ilyen támadások elleni védelemmel szembeni védelemmel kapcsolatos mélységi modellek bevezetésével.