Un pirate informatique lié au Pakistan est soupçonné de cibler les compagnies d’électricité indiennes avec ReverseRat

Quelques jours après des informations faisant état de campagnes de cyberespionnage menées par des acteurs parrainés par l’État chinois ciblant le secteur électrique indien, des chercheurs en sécurité ont découvert une nouvelle opération informatique menée par des pirates informatiques pakistanais présumés. Black Lotus Labs de la société de cybersécurité Lumen a récemment découvert un nouveau cheval de Troie d’accès à distance (RAT), baptisé ReverseRat, ciblant les sociétés énergétiques publiques et privées des régions d’Asie du Sud et centrale. Avec ReverseRat, les acteurs de la menace ont également déployé un RAT open source connu sous le nom de AllaKore pour compromettre les machines ciblées et obtenir l’accès.

Les organisations les plus touchées par la campagne sont basées en Inde, suivies d’un petit nombre d’organisations en Afghanistan. Lumen soupçonne des acteurs parrainés par l’État pakistanais d’être à l’origine de cette campagne, qui aurait commencé en janvier 2021.

La campagne ReverseRat utilise des techniques avancées pour échapper à la détection des analyses de sécurité. Ceux-ci inclus:

• Exploiter les domaines compromis pour stocker des fichiers malveillants
• Sélection de victimes de premier plan après avoir compromis leurs domaines
• Utilisation d’un code open source réutilisé et d’un composant en mémoire lors de l’accès initial
• Modification des clés de registre pour accéder furtivement à l’appareil ciblé

Chaîne d’infection ReverseRat

• Premièrement, les attaquants envoient des URL malveillantes spécialement conçues aux cibles.
• Une fois que la victime a cliqué sur le lien, elle télécharge automatiquement un fichier .zip contenant un fichier de raccourci Microsoft (.lnk) et un fichier PDF bénin.
• Le fichier zip déploie ensuite deux fichiers HTA nommés CactusTorch et preBotHta , qui contiennent du code JavaScript malveillant.
• Enfin, ReverseRat commence son exécution.

« Bien que les cibles de cet acteur menaçant soient jusqu’à présent restées dans les régions d’Asie du Sud et centrale, elles se sont avérées efficaces pour accéder aux réseaux d’intérêt. Bien qu’il s’appuyait auparavant sur des frameworks open source tels que AllaKore, l’acteur a pu rester efficace et étendre ses capacités avec le développement de l’agent Svchostt et d’autres composants du projet ReverseRat. Nous estimons qu’à mesure que l’acteur continue de développer ces capacités, d’utiliser des domaines compromis et d’affiner ces processus d’infection en plusieurs étapes, il constituera une menace réelle pour les organisations dans et au-delà de ces régions. Bien que cet acteur ne soit pas aussi sophistiqué que les acteurs parrainés par l’État les plus qualifiés, il devrait être surveillé en permanence », a déclaré Lumen.