Frissített DRAT verziót használ a TAG-140
Az Insikt Group az indiai kormányzati szervezeteket célzó, nemrégiben lezajlott TAG-140 kampány vizsgálata során azonosította a DRAT távoli hozzáférési trójai (RAT) módosított változatát, amelyet DRAT V2-nek neveztek el. A TAG-140 átfedéseket mutat a SideCopy-val, amely a Transparent Tribe (APT36, ProjectM vagy MYTHIC LEOPARD) alcsoportjának tekinthető. A TAG-140 következetesen bizonyította, hogy folyamatosan fejlődik az általa használt rosszindulatú programok arzenáljában és terjesztési technikáiban. Ez a legutóbbi kampány, amely egy klónozott sajtóközlemény portálon keresztül hamisította meg az indiai védelmi minisztériumot, enyhe, de figyelemre méltó változást jelent mind a rosszindulatú programok felépítésében, mind a C2 funkciókban.
A DRAT V2 használata a TAG-140 részéről a távoli hozzáférési eszközeinek folyamatos finomítását tükrözi. A DRAT .NET-alapú változatáról áttért a csoport egy új, Delphi-re fordított változatra. Mindkét verzió a csoport által használt számos RAT között van, mint például a CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore és ReverseRAT, ami a rosszindulatú programok rotációs mintáját jelzi. A DRAT V2 frissíti az egyedi TCP-alapú, kiszolgáló által kezdeményezett C2 protokollt, és bővíti a funkcionális képességeket, beleértve a tetszőleges shell command-ok végrehajtását és a továbbfejlesztett fájlrendszeri interakciót.
A fertőzési lánc elemzése azt jelzi, hogy a kezdeti hozzáférést ClickFix stílusú social engineering csalival szerezte meg a csoport. Az áldozatokat egy rosszindulatú szkript futtatására csábították az mshta.exe fájlon keresztül, ami a BroaderAspect .NET betöltőjének végrehajtásához vezetett, amelyet korábban a TAG-140 is használt. A BroaderAspect létrehozza a perzisztenciát, majd telepítette és futtatta a DRAT V2-t.
Az Insikt Group ezt a tevékenységet mérsékelt bizalommal a TAG-140-nek tulajdonítja, a tartományi átfedések, a rosszindulatú programok származása és az infrastruktúra jellemzői alapján.
