Cyberprzestępcy atakują systemy operacyjne
GravityRAT zadebiutowało w 2018 r. jako złośliwe oprogramowanie atakujące systemy Windows. Wykorzystywało wiadomości e-mail typu spear-phishing, aby zainfekować komputery i zbierać wrażliwe informacje.
Z czasem ewoluowało, przenosząc swoje działanie na systemy Android i macOS, co czyni je wszechstronnym narzędziem hakerskim. Jego głównym celem były podmioty w Indiach, w tym personel wojskowy i rządowy.
Jednak w kampanii Celestial Force wykorzystuje się również inne narzędzia, takie jak HeavyLift i GravityAdmin. HeavyLift to moduł ładujący złośliwe oprogramowanie dla systemu Windows, oparty na technologii Electron.
Szkodliwe oprogramowanie infekuje systemy operacyjne Windows za pomocą złośliwych instalatorów, zbiera dane systemowe i przesyła je na serwery dowodzenia, a także regularnie pobiera nowe ładunki do wykonania.
GravityAdmin, z kolei, jest narzędziem administracyjnym używanym do zarządzania infekcjami. Posiada wiele wbudowanych interfejsów użytkownika, które są dedykowane konkretnym kampaniom, co umożliwia precyzyjne zarządzanie atakami.
Pakistańscy cyberprzestępcy atakują
Cyberprzestępcy związani z operacją Celestial Force, znani jako Cosmic Leopard lub SpaceCobra, stosują techniki spear-phishingu i inżynierii społecznej do atakowania swoich celów. Polega to na budowaniu zaufania wśród ofiar, a następnie nakłanianiu ich do pobrania złośliwego oprogramowania.
Ofiary otrzymują linki do złośliwych witryn, które instruują je, aby pobrały pozornie nieszkodliwy program. W zależności od systemu operacyjnego, złośliwe oprogramowanie może obejmować GravityRAT lub HeavyLift.
Eksperci ds. cyberbezpieczeństwa z Cisco Talos podkreślają, że kampania ta jest skierowana głównie na użytkowników z subkontynentu indyjskiego – w tym personel wojskowy i rządowy.
Co więcej – ostatnie badania Cisco Talos ujawniły, że GravityRAT i HeavyLift są zarządzane za pomocą narzędzia GravityAdmin, co pozwala na bardziej zorganizowane i skuteczne przeprowadzanie ataków.
Eksperci odkryli, że GravityAdmin jest używany do zarządzania kampaniami hakerskimi, a jego interfejsy użytkownika umożliwiają śledzenie i kontrolowanie infekcji.
Pakistańskie zagrożenie
Kampania szkodliwego oprogramowania prowadzona przez pakistańskich cyberprzestępców jest jednym z najbardziej zaawansowanych i długotrwałych działań w świecie cyberbezpieczeństwa.
Jej sukces polega na ciągłej ewolucji narzędzi i metod ataków, co umożliwia skuteczne infekowanie systemów Windows, Android i macOS. Eksperci ds. cyberbezpieczeństwa wciąż monitorują rozwój operacji Celestial Force, starając się zrozumieć i przeciwdziałać zagrożeniom, które stwarza. A także sprawdzając, czy działalność cyberprzestępców nie rozwija się na kolejne kraje.
