恶意软件团伙在个人电脑上植入犯罪证据，逮捕受害者

在过去十年中，身份不明的歹徒一直在印度人权倡导者、律师和学者的装置上植入有罪证据，似乎是为了让他们被捕。

那'；据SentinelOne报道，该公司已将船员命名为ModifiedElephant，并描述了该组织'；在周三发布的一份报告中，他介绍了自2012年以来的技术和目标。

"ModifiedElephant的目标是长期监测，有时以'；证据'；——在方便协调的逮捕行动之前，将目标纳入具体罪行的文件；SentinelOne的威胁研究员汤姆·黑格尔在一篇博客文章中说。

黑格尔表示，该组织多年来一直没有引起网络安全界的注意，因为其行动范围有限，针对特定地区，工具相对简单。

ModifiedElephant更喜欢使用带有恶意Microsoft Office附件的网络钓鱼来攻击目标，并用Windows恶意软件感染目标。

2013年，它的信息依赖于文件名中带有欺骗性双扩展名（例如filename.pdf.exe）的可执行文件附件。2015年后，该组织使用了。博士。pps。docx。rar和密码保护。rar文件。2019，它的攻击向量涉及到托管恶意文件的链接，并且该组也被称为使用了大量的恶意文件。rar存档以避免被发现。

"那里'；关于这一行动的机制有多么平凡，这是值得一提的；SentinelOne的威胁研究员、约翰·霍普金斯大学SAIS的兼职教授胡安·安德烈斯·格雷罗·萨阿德在推特上说"恶意软件要么是定制垃圾，要么是商品垃圾。那里'；It’从技术上讲，这个威胁演员一点也不令人印象深刻，相反，我们对他们的胆大妄为感到惊讶"

活动人士罗娜·威尔逊据说是德莱芬特的目标之一。2018年，威尔逊与另外八人在印度民族主义者和达利特人之间的暴力冲突比马·科雷根案中被捕。一年前，美国数字取证公司阿森纳咨询公司（Arsenal Consulting）报告称，针对威尔逊的证据已经植入。

"阿森纳对这起案件的分析显示，罗娜·威尔逊的电脑遭到破坏的时间刚刚超过22个月；阿森纳咨询公司在2021年2月8日的报告中说。34;负责破坏威尔逊先生计算机的攻击者拥有大量资源（包括时间），很明显，他们的主要目标是监视和证明文件传递有罪"

"阿森纳将同一名攻击者与一个重要的恶意软件基础设施联系起来，该基础设施在大约四年的时间里被部署，不仅在22个月内攻击并破坏了威尔逊先生的计算机，还攻击了他在比马·科雷根案中的共同被告，以及其他备受关注的印度案件中的被告"

本案中更严重的证据之一——Ltr_1804_to_cc。pdf文件，包括据称针对印度总理纳伦德拉·莫迪的暗杀阴谋的细节，据说已被放置在威尔逊'；通过NetWire RAT远程会话访问计算机。

威尔逊和#39；s的手机也被发现有NSO集团#39；它上面有飞马间谍软件。他仍在狱中，与当时被捕的其他人一起等待审判。他被指控在印度'；美国的《非法活动（预防）法》（UAPA），国际特赦组织称该法为"；违反了多项国际人权标准，规避了公平审判的保障"

SentinelOne没有明确说明ModifiedElephant代表印度政府行事，但指出该组织是如何'；s的活动与政府一致#39；这是我的兴趣。

"我们观察到，Modifiedlephant的活动与印度的国家利益密切相关，Modifiedlephant袭击与在有争议的政治指控案件中逮捕个人之间存在明显的相关性，"；黑格尔写道。

根据报告，Modifiedlephant'；印度的网络基础设施与“宿醉行动”（Operation Hangover）重叠。宿醉行动可追溯到2013年，针对印度国家安全感兴趣的目标进行监视。该安全公司还表示，威尔逊已成为第二个威胁组织SideWinder[PDF]的目标，该组织袭击了亚洲各地的政府、军方和私营部门组织。

黑格尔观察到，《哨兵龙》去年报道了一名在土耳其境内及周边活动的威胁行为人，他被称为利己狂，在记者的装置上植入了有罪证据，以支持土耳其国家警察的逮捕。

"归根结底，这是一项以实际人力成本为代价的研究；格雷罗·萨阿德说"被告仍在狱中，其中一人最近去世。还有更多的避风港'；还没有确定。我们只能希望这能引起进一步的关注和合作，以遏制这种行为" ®