Atores de ameaças com ligações com o Paquistão foram vinculados a uma campanha de malware de longa duração apelidada Operação Força Celestial desde pelo menos 2018.
A atividade, ainda em andamento, envolve o uso de um malware Android chamado GravityRAT e um carregador de malware baseado em Home windows de codinome HeavyLift, de acordo com Cisco Talos, que são administrados usando outra ferramenta autônoma chamada GravityAdmin.
A segurança cibernética atribuiu a intrusão a um adversário que rastreia sob o apelido de Cosmic Leopard (também conhecido como SpaceCobra), que, segundo ela, exibe algum nível de sobreposição tática com a Tribo Transparente.
“A Operação Celestial Pressure está ativa pelo menos desde 2018 e continua a operar hoje – utilizando cada vez mais um conjunto de malware em expansão e evolução – indicando que a operação provavelmente teve um alto grau de sucesso visando usuários no subcontinente indiano”, pesquisadores de segurança Asheer Malhotra e Vitor Ventura disse em relatório técnico compartilhado com The Hacker Information.
O GravityRAT apareceu pela primeira vez em 2018 como um malware do Home windows direcionado a entidades indianas por meio de e-mails de spear-phishing, ostentando um conjunto de recursos em constante evolução para coletar informações confidenciais de hosts comprometidos. Desde então, o malware foi portado para funcionar nos sistemas operacionais Android e macOS, transformando-o em uma ferramenta multiplataforma.
Descobertas subsequentes da Meta e da ESET no ano passado revelaram o uso contínuo da versão Android do GravityRAT para atingir militares na Índia e na Força Aérea do Paquistão, mascarando-o como aplicativos de armazenamento em nuvem, entretenimento e bate-papo.
As descobertas do Cisco Talos reúnem todas essas atividades díspares, mas relacionadas, sob um guarda-chuva comum, impulsionadas por evidências que apontam para o uso do GravityAdmin pelo ator da ameaça para orquestrar esses ataques.
O Cosmic Leopard foi predominantemente observado empregando spear-phishing e engenharia social para estabelecer confiança com possíveis alvos, antes de enviar-lhes um hyperlink para um web site malicioso que os instrui a baixar um programa aparentemente inócuo que descarta GravityRAT ou HeavyLift dependendo do sistema operacional usado.
Diz-se que o GravityRAT foi colocado em uso já em 2016. GravityAdmin, por outro lado, é um binário usado para comandar sistemas infectados desde pelo menos agosto de 2021, estabelecendo conexões com os servidores de comando e controle (C2) do GravityRAT e HeavyLift. .
“GravityAdmin consiste em múltiplas interfaces de usuário (UIs) integradas que correspondem a campanhas específicas, com codinomes, operadas por operadores maliciosos”, observaram os pesquisadores. “Por exemplo, 'FOXTROT', 'CLOUDINFINITY' e 'CHATICO' são nomes dados a todas as infecções por GravityRAT baseadas em Android, enquanto 'CRAFTWITHME', 'SEXYBER' e 'CVSCOUT' são nomes para ataques que implantam HeavyLift.”
O componente recém-descoberto do arsenal do agente de ameaças é o HeavyLift, uma família de carregadores de malware baseados em Electron, distribuída por meio de instaladores maliciosos direcionados ao sistema operacional Home windows. Também tem semelhanças com as versões Electron do GravityRAT documentadas anteriormente pela Kaspersky em 2020.
O malware, uma vez lançado, é capaz de coletar e exportar metadados do sistema para um servidor C2 codificado e, em seguida, sondar periodicamente o servidor em busca de novas cargas úteis a serem executadas no sistema. Além do mais, ele também foi projetado para executar funções semelhantes no macOS.
“Esta operação plurianual teve como alvo contínuo entidades e indivíduos indianos, provavelmente pertencentes aos setores de defesa, governo e tecnologia relacionada”, disseram os pesquisadores.
