Pakistan merkezli bir siber casusluk grubu olan şeffaf kabile olarak da bilinen Apt36, Hint savunma personelini hedefleyen son derece sofistike bir kimlik avı kampanyası başlattı.
Cyfirma’nın son bulgularına göre, bu grup resmi hükümet belgeleri olarak gizlenmiş kötü niyetli PDF ekleri sunan kimlik avı e -postalarını titizlikle hazırladı.
Siber Casusluk Grubu Şeffaf Kabile Tekrar Grev
Bu aldatıcı dosyalar, kimlik bilgisi hasat ve kritik altyapıya uzun vadeli erişim üzerine odaklanan hassas savunma ağlarına sızmak için tasarlanmıştır.
.png
)
Bu kampanya, APT36 gibi ulus devlet aktörlerinin stratejik sektörlere karşı hedeflenen casusluk yapmak için taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) sürekli olarak geliştirdiği gelişen tehdit manzarasının altını çiziyor.
Kimlik avı kampanyası, açıldıktan sonra, Ulusal Bilişim Merkezi’nin (NIC) giriş arayüzünü taklit eden bulanık bir arka plan ve aldatıcı bir düğme gösteren “PO-003443125.pdf” adlı kötü niyetli bir PDF dosyası yerleştiren e-postalarla başlar.
Bu akıllı sosyal mühendislik taktiği kurbanları “Belgeyi görüntülemek için tıklayın” düğmesini tıklamaya ve hileli bir URL’ye yönlendirmeye başladı (hxxps: // superprimeServices[.]com/nishat/sipariş/po-003443125.pdf.7z).
Bu URL, kötü niyetli yürütülebilir bir “PO-00343125.pdf.exe” içeren bir zip arşivi olan “PO-003443125.pdf.7z” in indirilmesini tetikler.
Kötü niyetli işlemin teknik dökümü
Yürütme üzerine, Windows sistemleri için C/C ++ ile yazılmış kötü amaçlı yazılım, anti-debugging (IsdebuggerPresent kullanılarak), anti-VM tespiti (ISWOW64Process aracılığıyla) ve EVADE tespiti için çift uzantılar yoluyla gizleme gibi gelişmiş anti-analiz tekniklerini dağıtır.
Cloudflare altyapısında barındırılan şifreli kanallarla komut ve kontrol (C2) iletişim kurarken, kimlik bilgilerini ve hassas bilgileri yaymak için anahtarlama, pano gözetim ve tarayıcı veri hırsızlığı kullanır.
Kötü amaçlı yazılım ayrıca, kayıt defteri modifikasyonu gibi kalıcılık mekanizmalarının yanı sıra süreç enjeksiyonu, DLL yan yükleme ve gizli pencere oluşturma yoluyla savunma kaçırma gösterir.
İlk olarak 7 Mayıs 2025’te gözlemlenen bu çok katmanlı saldırı, T1566 (kimlik avı), T1056.001 (Keylogging) ve T1573 (şifreli kanal) dahil olmak üzere çok sayıda Güç ATT & CK tekniğiyle eşleşiyor, bu da veri eksfiltrasyonu ve kaynak iyileştirme için sofistike ve niyetini vurguluyor.
23 Ekim 2024’te kaydedilen saldırıda kullanılan alan adı, Brezilya’nın São Paulo kentinde barındırılan bir IP adresine (104.21.0.118) karar verir ve kısa vadeli kötü niyetli bir altyapı kurulumunu gösteren 655’den fazla alanla paylaşılır.
Bu operasyonun etkisi şiddetlidir ve yetkisiz erişim ve tehlikeye atılan sistemlerde potansiyel yanal hareket yoluyla Hint savunma ağlarına doğrudan bir tehdit oluşturmaktadır.
Yanıt olarak, Cyfirma, e-posta güvenliğini devlet sınıfı çözümleriyle desteklemenizi, katı bağlanma politikalarının uygulanmasını ve uç nokta algılama ve yanıt (EDR) araçlarının yanı sıra çok faktörlü kimlik doğrulama (MFA) uygulanmasını önerir.
Sürekli kullanıcı farkındalığı eğitimi ve gerçek zamanlı tehdit istihbarat entegrasyonu, bu tür hedeflenen tehditleri azaltmak için kritik öneme sahiptir.
Dosya karmalar ve kötü amaçlı alanlar dahil olmak üzere aşağıda sağlanan uzlaşma göstergeleri (IOC’ler) engellenmeli ve APT36 tarafından daha fazla saldırıyı önlemek için izlenmelidir.
Uzlaşma Göstergeleri (IOCS)
| S.no | Gösterge | Notlar |
|---|---|---|
| 1 | F | Engellemek |
| 2 | 55B7E20E42B57A32DB29EA3F65D0FD2B2858AEB9307B0BBCDD1B0FCFD8059 | Engellemek |
| 3 | SuperPareServices[.]com | Engellemek |
| 4 | Funday24[.]ru | Engellemek |
| 5 | 76[.]223[.]54[.]146 | İzlemek |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin