思科旗下威胁情报团队Talos揭露攻击行动Operation Celestial Force,从2018年起,巴基斯坦骇客组织Cosmic Leopard锁定印度政府机关、国防单位,以及相关技术领域的组织。值得留意的是,时至今日这项攻击行动仍在持维进行,并未出现缓和的迹象。
针对这波为期长达6年的攻击行动,研究人员指出,对方起初使用RAT木马程式GravityRAT锁定Windows用户,接著,为了扩大攻击规模,他们也开发安卓版本,并在2019年针对行动装置而来。再来,为了散布上述木马程式,对方开发了名为HeavyLift的恶意程式载入工具,并将其用于攻击行动,过程中运用名为GravityAdmin的管理介面来控制受害装置。
究竟骇客如何接触攻击目标?研究人员指出主要透过两种媒介,分别是鱼叉式网路钓鱼和社交工程攻击。值得留意的是,对方运用社交工程手法的情况越来越频繁,多年发展下来,社交工程已是他们的主要渗透管道。
骇客先是利用社群网站与目标人士进行联系,建立信任关系,最终向受害者散布GravityRAT或是HeavyLift。