یکی دیگر از پویشهای فیشینگ COVID-19 کشف شده است که ظاهراً توسط گروه APT36 مستقر در پاکستان مدیریت و کنترل میشود. APT36 از سال ۲۰۱۶ میلادی فعال بوده است و در اوایل، علیه فعالیتهای دفاعی و حکومتی هند فعالیت جاسوسی سایبری انجام میداد.
اولین گزارش مربوط به این پویش جدید در توییت گروه RedDrip در ۱۲ مارس سال ۲۰۱۰ میلادی منتشر شد. این گزارش بیان میکند که اسناد مخرب وانمود میکنند از طرف دولت هند و شامل مشاورهی بهداشتی دربارهی ویروس کرونا هستند و به نظر میرسد که با Transparent Tribe توزیع میشوند. قربانیان فریب میخورند که برای اجرای بار دادهی Crimson RAT ماکرو را فعال کنند. Transparent Tribe یک نام جایگزین برای APT36 است. تحقیقات اخیر Proofpoint استفاده از Crimson RAT در یک حملهی watering hole علیه سفارتخانههای هند در عربستان سعودی و قزاقستان و ارتباط آن به پاکستان را تشریح میکند.
مالوربایتس اسناد استفادهشده در پویش اخیر را تجزیه و تحلیل کرده است و یک ایمیل اسپرفیشینگ را توصیف میکند که خود را بهعنوان ایمیلی از طرف دولت هند وانمود جا میزند و پیوندی به یک مشاورهی بهداشتی جعلی ویروس کرونا دارد.
سند پیوند داده شده شامل دو ماکروی مخفی است که Crimson RAT را توزیع میکند. گام اول ایجاد دو مسیر با نامهای Edlacar و Uahaiws و سپس بررسی نوع سیستم عامل است. براساس سیستم عامل، نسخهی ۳۲ بیتی یا ۶۴ بیتی RAT را انتخاب میکند و آن را بهصورت فشردهشده در مسیر Uahaiws توزیع میشود. سپس با استفاده از تابع UnAldZip از حالت فشرده خارج میشود و بار داده در مسیر Edlacar توزیع و اجرا میشود.
Crimson RAT همانطور که توسط MITRE ATT&ck توصیف شده است، میتواند گواهینامهها را از مرورگرها به سرقت ببرد و از یک پروتکل TCP سفارشی برای ارتباط C2 استفاده کند، میتواند دادهها را از درایوهای قابل جابجایی جمعآوری کند، ایمیلها را از Outlook جمعآوری و استخراج کند، فایلها و مسیرها و جستجو برای پسوندهای خاص را فهرست کند، فرآیندها را فهرست کند، فایلها را از سرور C2 واکشی کند، اسکرینشاتها را جمعآوری کند، اطلاعات هر محصول ضد بدافزاری نصبشده، اطلاعات دستگاه و سیستم عامل، آدرس مک و LAN IP را جمعآوری کند.
مالوربایتس بیان میکند که در این نمونه، Crimson RAT به آدرسهای آیپی رمزنگاریشدهی C&C متصل میشود و اطلاعات جمعآوریشده دربارهی قربانی ازجمله فهرست فرآیندهای در حال اجرا و شناسههای آنها، نام میزبان دستگاه و نام کاربری آنها را به سرور ارسال میکند.
هیچ اطلاعاتی دربارهی اهداف قربانی خاص ارائه نشده است، بنابراین هنوز هیچ اطلاعاتی دربارهی وسعت این پویش وجود ندارد.
استفاده از COVID-19 بهعنوان یک فریبدهندهی فیشینگ رایج است و چیز غیرمنتظرهای نیست، اما این بهانهای برای حساس کردن اوضاع نیست. گزارشهای رسانهای متعددی دربارهی APT تحت حمایت دولت چین به نام Vicious Panda وجود دارد. مالوربایتس دربارهی این پویش فیشینگ APT36 گزارش میدهد و بیان میکند که بسیاری از عاملان تهدید تحت حمایت دولت ازجمله Vicious Panda و Mustang Panda توزیع فریبدهندههای ویروس کرونا را آغاز کردهاند.
اما در واقع Vicious Panda وجود ندارد، این نام از عنوان گزارش چک پوینت برگرفته شده است. در این گزارش هیچ اشارهای به Vicious Panda نشده و این گروه بینام توصیف شده است. بااینکه بهعنوان یک APT توصیف میشود، اما در این گزارش به دولت چین نسبت داده نشده و تنها تصور میشود که این گروه در چین است.
ممکن است به خاطر اینکه این گروه بینام بهراحتی قابل تشخیص باشد، Vicious Panda نامیده شده است. ممکن است که این گروه چینی باشد و حتی احتمال دارد که تحت حمایت دولت چین باشد.