Een politiek gemotiveerde APT-groep (Advanced Persistent Threat) heeft zijn malware-arsenaal uitgebreid met een nieuwe Remote Access Trojan (RAT) voor spionageaanvallen gericht op Indiase militaire en diplomatieke entiteiten.
Genaamd CapraRAT door Trend Micro, is het implantaat een Android RAT die een hoge “graad van crossover” vertoont met een andere Windows-malware die bekend staat als CrimsonRAT en die wordt geassocieerd met Earth Karkaddan, een bedreigingsactor die ook wordt gevolgd onder de namen APT36, Operation C-Major, PROJECTM, Mythic Leopard en transparante stam.
De eerste concrete tekenen van het bestaan van APT36 verscheen in 2016 toen de groep informatie-stelende malware begon te verspreiden via phishing-e-mails met kwaadaardige pdf-bijlagen die gericht waren op Indiase militairen en overheidspersoneel. De groep wordt verondersteld te zijn van Pakistaanse afkomst en operationeel sinds ten minste 2013.
Het is ook bekend dat de dreigingsactor consistent is in zijn modus operandi, waarbij de aanvallen voornamelijk gebaseerd zijn op social engineering en een Op USB gebaseerde worm als instapmomenten. Een van de gemeenschappelijke elementen in het arsenaal van de groep is a ramen achterdeur genaamd CrimsonRAT waarmee de aanvallers uitgebreide toegang hebben tot gecompromitteerde systemen, hoewel recente campagnes zijn geëvolueerd om ObliqueRAT te leveren.
CrimsonRAT is gevormd als een .NET-binair bestand waarvan het belangrijkste doel is om informatie van gerichte Windows-systemen te verkrijgen en te exfiltreren, inclusief schermafbeeldingen, toetsaanslagen en bestanden van verwisselbare schijven, en deze te uploaden naar de command-and-control-server van de aanvaller.
De nieuwe toevoeging aan zijn toolset is nog een andere aangepaste Android RAT die wordt ingezet door middel van phishing-links. CapraRAT, dat is vermomd als een YouTube-app, zou een aangepaste versie zijn van een open-source RAT genaamd AndroRAT en wordt geleverd met een verscheidenheid aan functies voor gegevensexfiltratie, waaronder de mogelijkheid om de locaties van slachtoffers, telefoonlogboeken en contactgegevens te verzamelen .
Dit is verre van de eerste keer dat de hackgroep Android RAT’s heeft gebruikt. In mei 2018 werden mensenrechtenverdedigers in Pakistan het doelwit van Android-spyware genaamd StealthAgent om telefoontjes en berichten te onderscheppen, foto’s over te hevelen en hun verblijfplaats te volgen.
Toen, in 2020, werden aanvalscampagnes opgezet door Transparent Tribe, waarbij gebruik werd gemaakt van kunstaas met een militair thema om een aangepaste versie van de AhMyth Android RAT die zich voordeed als een porno-gerelateerde app en een nepversie van de Aarogya Setu COVID-19-tracking-app.
Om dergelijke aanvallen te verminderen, wordt gebruikers geadviseerd om op te passen voor ongevraagde e-mails, te vermijden op links te klikken of e-mailbijlagen van onbekende afzenders te downloaden, apps alleen van vertrouwde bronnen te installeren en voorzichtig te zijn met het verlenen van toestemmingen die door de apps worden gevraagd.
