O grupo de ameaças alinhado à Índia, Dropping Elephant, lançou um sofisticado ataque cibernético em vários estágios visando o setor de defesa do Paquistão, usando um trojan de acesso remoto baseado em Python, disfarçado em um conta-gotas MSBuild.
Idan Tarab identificou esta campanha avançada que aproveita falsas iscas de phishing relacionadas com a defesa para comprometer unidades militares de investigação e desenvolvimento e instalações de aquisição ligadas à Corporação Nacional de Rádio e Telecomunicações do Paquistão.
O ataque começa inofensivamente com um e-mail de phishing contendo um arquivo ZIP malicioso. Depois de baixado, o arquivo inclui um arquivo de projeto do MSBuild que serve como conta-gotas inicial, junto com um PDF falso projetado para parecer legítimo.
Quando executado, o dropper começa a baixar vários componentes para o diretório de tarefas do Windows, estabelecendo persistência por meio de tarefas agendadas com nomes aparentemente legítimos, como KeyboardDrivers e MsEdgeDrivers.
O pesquisador de segurança Idan Tarab observou que o Dropping Elephant empregou técnicas sofisticadas de ofuscação em toda a cadeia de infecção, usando criptografia reversa UTF para reconstruir strings e resolução dinâmica de API para evitar a detecção por ferramentas de segurança.
A abordagem do grupo demonstra maturidade técnica significativa na utilização de utilitários legítimos do Windows como parte de sua infraestrutura de ataque.
O mecanismo de persistência Stealth Python
A peça central da operação envolve a implantação de um tempo de execução Python integrado completo no diretório AppData, onde um arquivo DLL falso chamado python2_pycache_.dll na verdade contém bytecode Python empacotado em vez de código de biblioteca legítimo.
Essa carga útil é executada por meio de pythonw.exe, que é executado sem exibir uma janela, proporcionando sigilo profundo contra possíveis defensores.
O backdoor Python inclui vários módulos, como cliente, comandos, remote_module e base.py, permitindo controle abrangente do sistema e coleta de informações de máquinas comprometidas.
O malware mantém comunicação de comando e controle por meio de domínios incluindo nexnxky.info, upxvion.info e soptr.info.
O código identificado contém nomes de variáveis altamente ofuscados e estruturas de comando codificadas em base64, tornando a análise manual particularmente desafiadora.
O grupo empregou caminhos de arquivos específicos e entradas de agendador de tarefas que imitam operações legítimas do Windows, permitindo que o backdoor se misturasse perfeitamente à atividade normal do sistema, permanecendo inativo até receber comandos da infraestrutura controlada pelo invasor.
Esta campanha sublinha a ameaça persistente de grupos avançados de ameaças persistentes que visam infraestruturas críticas de defesa no Sul da Ásia.
As organizações devem implementar monitoramento aprimorado para execuções suspeitas do MSBuild e para implantações incomuns de tempo de execução do Python em diretórios do sistema, além de manter controles rígidos sobre mecanismos de defesa contra phishing.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
