Cloudflare警告说，与印度有联系的黑客针对南亚和东亚实体

观察到一个具有印度联系的高级威胁行为者使用多个云服务提供商来促进凭据收集、恶意软件交付和命令和控制（C2）。

网络基础设施和安全公司Cloudflare正在以SloppyLemming的名义跟踪活动，该名称也被称为Outrider Tiger和Fishing Elephant。

Cloudflare在一份分析中表示，从2022年底至今，SloppyLemming经常使用Cloudflare Workers，这可能是针对南亚和东亚国家的广泛间谍活动的一部分。

SloppyLemming被评估为至少自2021年7月以来一直活跃，之前的活动利用了Ares RAT和WarHawk等恶意软件，后者也与一个名为SideWinder的已知黑客团队有关。另一方面，Ares RAT的使用与SideCopy有关，SideCopy可能来自巴基斯坦。

SloppyLemming的活动目标包括位于巴基斯坦、斯里兰卡、孟加拉国、中国、尼泊尔和印度尼西亚的政府、执法、能源、教育、电信和技术实体。

攻击链涉及向目标发送鱼叉式网络钓鱼电子邮件，这些目标旨在通过诱发虚假的紧迫感来欺骗收件人点击恶意链接，声称他们需要在未来24小时内完成强制性流程。

单击URL将受害者带到凭据收集页面，然后作为威胁者在感兴趣的组织内未经授权访问目标电子邮件帐户的机制。

该公司表示，该行为者使用一个名为CloudPhish的定制工具创建了一个恶意的Cloudflare Worker，以处理凭据日志记录逻辑和向威胁行为者泄露受害者凭据。

SloppyLemming实施的一些攻击利用类似的技术来捕获谷歌OAuth令牌，以及使用陷阱RAR存档（“CamScanner 06-10-2024 15.29.rar”），这些存档可能利用WinRAR漏洞（CVE-2023-38831）来实现远程代码执行。

RAR文件中有一个可执行文件，除了显示引子文档外，还隐身加载“CRYPTSP.dll”，该文件作为下载器，以检索托管在Dropbox上的远程访问木马。

这里值得一提的是，网络安全公司SEQRITE详细介绍了SideCopy行为者去年针对印度政府和国防部门开展的类似活动，使用名为“DocScanner_AUG_2023.zip”和“DocScanner-Oct.zip”的ZIP存档分发Ares RAT，这些档案旨在触发相同的漏洞。

SloppyLemming采用的第三个感染序列需要使用鱼叉式钓鱼诱饵将潜在目标引导到一个冒充巴基斯坦旁遮普信息技术委员会（PITB）的虚假网站，之后他们被重定向到另一个包含互联网快捷方式（URL）文件的网站。

URL文件嵌入了代码，用于从同一服务器下载另一个文件，一个名为PITB-JR5124.exe的可执行文件。二进制文件是一个合法文件，用于侧载名为profapi.dll的流氓DLL，随后与Cloudflare Worker通信。

该公司指出，这些Cloudflare Worker URL充当中介，将请求转发到对手使用的实际C2域（“aljazeerak[.]online”）。

Cloudflare表示，它“观察到SloppyLemming为针对巴基斯坦警察局和其他执法组织做出了一致努力”，并补充说：“有迹象表明，该行为者针对参与运营和维护巴基斯坦唯一核电设施的实体。”

证书收集活动的其他一些目标包括斯里兰卡和孟加拉国政府和军事组织，以及在较小程度上包括中国能源和学术部门实体。

参考来源：thehackernews