Pakistan bağlantılı APT36 grubuna atfedilen sofistike bir kimlik avı kampanyası, Hindistan hükümet altyapısı için ciddi bir tehdit olarak ortaya çıktı.
İlk olarak Ağustos 2025’in başlarında tespit edilen bu operasyon, resmi hükümet giriş portallarını taklit etmek için tasarlanmış yazım hatalı alanlardan yararlanır.
Şüphesiz kullanıcılar e -posta kimliklerini ve şifrelerini girdiklerinde, meşru logolar ve düzenlerle tamamlanan Ulusal Bilişim Merkezi’nin Kavach kimlik doğrulama arayüzünü çoğaltan sahte sayfalara yönlendirilirler.
Bir kerelik şifreleri (OTP) gerçek zamanlı olarak hasat ederek, saldırganlar çok faktörlü kimlik doğrulamasını atlar ve hassas e-posta hesaplarına sınırsız erişim sağlar.
Cyfirma analistleri, 14 Temmuz 2025’te kayıtlı olan ve kimlik avı için işaretlenen IP adreslerine karar veren birincil kötü amaçlı alan adını belirledi.
Ayrıca, Mart ve Mayıs 2025’te kayıtlı ek alanlar da dahil olmak üzere altyapının desteklenmesinin, koordineli bir kampanyayı gösteren tek tip bir adlandırma konvansiyonu ve barındırma düzenini takip ettiğini belirttiler.
Etki alanları, hem Amazon Cloud altyapısında hem de Pakistan tabanlı sunucularda IPS’ye karar vererek ya tehlikeye atılmış üçüncü taraf hizmetleri veya tehdit aktörleri tarafından doğrudan evrelemeyi öneriyor.
37.221.64 numaralı telefondan uzak komut ve kontrol (C2) sunucusu ile iletişim kurmak için şifreli HTTPS trafiğinin kullanımı[.]202 ayrıca kampanyanın temel ağ algılama mekanizmalarından kaçınma niyetini ve niyetini göstermektedir.
.webp)
Mağdurlar, ilk kimlik avı sayfasına kimlik bilgilerini girdikten sonra, ikinci bir sayfada Kavach OTP için hemen istendiğini bildiriyor.
Bu hızlı, MFA iş akışını sadakatle yeniden üreterek şüpheyi azaltır ve gerçek zamanlı OTP hasatını kolaylaştırır. Yakalandıktan sonra, kimlik bilgileri ve OTP’ler 443 bağlantı noktası üzerinden saldırganın C2 altyapısına iletilir ve canlı hesap devralmasını sağlar.
Eğer zarar görmezse, bu gizli iletişimleri ortaya çıkarabilir, operasyonel güvenliği zayıflatabilir ve daha geniş ulusal güvenlik ihlallerine yol açabilir.
Enfeksiyon mekanizması ve kalıcılık taktikleri
Kimlik avı altyapısı, başlangıç erişimi elde etmek için hem mızrak aktı e-postaları hem de yazım hattı alan adlarını kullanır.
Mızrak aktı e-postaları, kurbanları mgovcloud.in ve virtualeoffice.cloud gibi alanlarda barındırılan kötü amaçlı açılış sayfalarına yönlendiren bağlantılar içerir.
Başarılı kimlik hırsızlığı üzerine APT36, tehlikeye atılan sistemlerde kalıcılığı korumak için kayıt defteri çalıştırma anahtarlarını ve planlanmış görevleri kullanır.
.webp)
Bu kayıt defteri anahtarları aracılığıyla dağıtılan özel bir Visual Basic betiği, saldırganın C2 sunucusuna periyodik geri çağrılar oluşturur, ek yükler indirir ve yerel dosyaları tüketir.
Cyfirma araştırmacıları, bu kampanyayla ilişkili uzlaşma göstergelerini tespit etmek için aşağıdaki YARA kuralını sağladı:-
rule APT36_Phishing_Indicators {
meta:
author = "Cyfirma Research"
description = "Detects IOCs for APT36 phishing infrastructure"
last_updated = "2025-07-30"
strings:
$ip1 = "99.83.175.80"
$ip2 = "37.221.64.202"
$domain1 = "mgovcloud.in"
$domain2 = "virtualeoffice.cloud"
condition:
any of ($ip*) or any of ($domain*)
}Bu kural, hem işaretlenmiş IP adresleriyle hem de APT36 tarafından kullanılan sahte alanlarla eşleşerek, savunucuları kimlik avı erişimine ilişkin kötü niyetli trafiği ve uyarıları engellemeleri için güçlendirir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 Ücretsiz Deneme Search’i deneyin