Een voorheen onbekende hackgroep is in verband gebracht met gerichte aanvallen op mensenrechtenactivisten, mensenrechtenverdedigers, academici en advocaten in heel India in een poging om "belastend digitaal bewijsmateriaal" te plaatsen.
Cyberbeveiligingsbedrijf SentinelOne schreef de inbraken toe aan een groep die het volgt als "GewijzigdOlifant”, een ongrijpbare dreigingsactor die operationeel is sinds ten minste 2012, wiens activiteit nauw aansluit bij de Indiase staatsbelangen.
"ModifiedElephant werkt door het gebruik van commercieel beschikbare Remote Access Trojans (RAT's) en heeft potentiële banden met de commerciële surveillance-industrie", aldus de onderzoekers. zei. “De dreigingsactor gebruikt spear-phishing met kwaadaardige documenten om malware te leveren, zoals: NetWire, DarkComet, en eenvoudige keyloggers.”
Het primaire doel van ModifiedElephant is het vergemakkelijken van langdurige surveillance van doelwitten, wat uiteindelijk leidt tot het leveren van "bewijs" over de gecompromitteerde systemen van de slachtoffers met als doel kwetsbare tegenstanders erin te luizen en op te sluiten.
Opvallend doelen omvatten personen die verband houden met de 2018 Bhima Koregaon geweld in de Indiase deelstaat Maharashtra, zeiden SentinelOne-onderzoekers Tom Hegel en Juan Andres Guerrero-Saade in een rapport.
De aanvalsketens omvatten het infecteren van de doelen - sommige meerdere keren op één dag - met behulp van spear-phishing-e-mails met als thema activisme, klimaatverandering en politiek, en met kwaadaardige Microsoft Office-documentbijlagen of koppelingen naar extern gehoste bestanden die zijn bewapend met malware die de controle over de machines van het slachtoffer kan overnemen.
"De phishing-e-mails nemen veel benaderingen om de schijn van legitimiteit te krijgen", aldus de onderzoekers. "Dit omvat nep-inhoud met een doorstuurgeschiedenis met lange lijsten met ontvangers, originele lijsten met e-mailontvangers met veel schijnbaar nep-accounts, of simpelweg hun malware meerdere keren opnieuw verzenden met nieuwe e-mails of lokdocumenten."
Ook verspreid met behulp van phishing-e-mails is een niet-geïdentificeerde handelstrojan gericht op Android waarmee de aanvallers sms- en oproepgegevens kunnen onderscheppen en beheren, het apparaat kunnen wissen of ontgrendelen, netwerkverzoeken kunnen uitvoeren en de geïnfecteerde apparaten op afstand kunnen beheren. SentinelOne omschreef het als een "ideale goedkope toolkit voor mobiele bewaking".
"Deze actor is al jaren actief en ontwijkt de aandacht en detectie van onderzoek vanwege hun beperkte reikwijdte van de operaties, de alledaagse aard van hun tools en hun regionaal-specifieke targeting", aldus de onderzoekers.
