APT36 Hackerlar, kötü niyetli PDF dosyalarını kullanarak Hint Demiryolları, Petrol ve Hükümet Sistemlerini Hedefce


Şeffaf Kabile olarak da bilinen Pakistan bağlantılı tehdit grubu APT36, siber operasyonlarını geleneksel askeri hedeflerin ötesinde, Hindistan demiryollarını, petrol ve gaz altyapısını ve Dışişleri Bakanlığı’nı kapsayacak şekilde genişletti.

Güvenlik araştırmacıları, yükleri dağıtmak ve CRON işleri aracılığıyla kalıcılık oluşturmak için kötü amaçlı komut dosyaları yürüten PDF belgeleri olarak gizlenmiş iki sofistike masaüstü tabanlı enfeksiyon zinciri ortaya çıkardılar.

Araştırmacı Sathwik Ram Prakki tarafından paylaşılan ilk göstergeler

Bu değişim, APT36’nın daha geniş hükümet ve sivil sektörlere sızmak için efsanevi Poseidon Backdoor’un konuşlandırılması da dahil olmak üzere kimlik avı yemleri ve yeni yük stratejileri uyarlamasını vurgulamaktadır.

Temmuz 2025’in başından beri aktif olan kampanya, öncelikle Alexhost tarafından düzenlenen ve kalıcı ve esnek bir tehdit manzarasının altını çizen Hint kuruluşlarını taklit eden 100’den fazla kimlik avı alanını içeriyor.

Enfeksiyon zincirleri

Saldırı varyantları, hükümet planları veya savunma mektupları etrafında temalı olanlar gibi meşru PDF’leri taklit eden .desktop dosyaları, arka plan komut dosyaları uzak sunuculardan kötü amaçlı yazılım indirirken kurbanları dikkate almak için kullanır.

Apt36 hacker
Kötü niyetli masaüstünün ilk varyantı

İlk varyantta, IP 209.38.203.53’teki tek bir komut ve kontrol (C2) sunucusu,/dg9nb2pvvbw8 =/dg9nb2pvvbw8 =/dg9nb2pvvbw8 =/dg9nb2pvvbw8 =/dg9nb2pvvbw8 =/dg9nb2pvbbw8 =/.local/pay/. Local/shill gibi hidden dizinlerdeki dosyaları saklayarak, ~/.local/shill, p7ip (exy-fmip) gibi saklayarak kolaylaştırır ( TCL-8.7).

Hunt raporuna göre, CRON Jobs aracılığıyla kalıcılık, güvenilirliği artırmak için Google Drive’da barındırılan tuzak içeriği ile sağlanır.

İkinci varyant, 165.232.114.63 ve 165.22.251.224’te çift C2 sunucuları ile fazlalık getirerek Emacs-Bin ve Crond-98 gibi yükleri indirerek, bir uç nokta bozulursa operasyonel sürekliliği sağlar.

Her iki zincir de, efsanevi C2 çerçevesi üzerine inşa edilmiş bir go dili implant olan Poseidon Backdoor’da doruğa ulaşır ve platformlar arası kalıcılık, sistem keşfi, kimlik bilgisi hasat ve yanal hareket sağlar.

Apt36 hacker
Poseidon arka kapısının C2 sunucuları

Almanya ve Hindistan’da DigitalOcean Altyapısı’nda barındırılan 178.128.204.138 ve 64.227.189.57’de ek Poseidon C2S, mit hizmetleri için 7443’ü ortaya çıkardı, AWS ve colorsross gibi sağlayıcılardan 352 sunucu arasında daha geniş efsane dağıtımlar açısından onaylandı.

Kimlik avı ölçeği

Kötü amaçlı yazılım sunumunu tamamlayan APT36’nın kimlik avı altyapısı, DRDO, Hint Ordusu ve diğer varlıkları taklit eden sahte alanlar aracılığıyla kimlik bilgilerini hedefler.

Kaynak karmalarından dönme, 100’den fazla alanı birbirine bağlamıştır, bu da Hindistan kamu sektörü kullanıcılarına göre uyarlanmış merkezi kontrol ve sosyal mühendisliği gösterir.

İlk olarak 2025 Temmuz ayı ortalarında belirtilen bu devam eden kampanya, kimlik bilgisi hırsızlığını sürekli erişim için arka kapı implantasyonu ile birleştiriyor.

Savunuculara, tanımlanmış C2 IP’lere yönelik trafiği izlemeleri, anormal .desktop dosya yürütmelerini tespit etmeleri, Alexhost tarafından çözülmüş sahte alanları engellemeleri ve şüpheli alt alanlar için günlükleri taramaları tavsiye edilir.

APT36’nın askeri odaklı casusluktan kritik altyapı hedeflemesine taktiklerinin evrimi, Hindistan’ın dijital ekosistemine yönelik riskleri azaltmak için gelişmiş tehdit avı, gösterge paylaşımı ve proaktif engelleme ihtiyacını vurgulamaktadır.

Uzlaşma Göstergeleri (IOCS)

MD5 karma Tanım
E354CF4C417E019AD236B241BA3C Meşru belgeleri taklit etmek ve yükleri teslim etmek için APT36 tarafından kullanılan desktop dosyası; Muhtemelen kalıcılık ve kaçırma mekanizmalarını başlatır.
76E9F3C325DE4F2D52F9881422A88CB Kötü niyetli .desktop dosyası APT36 tarafından hazırlanmış; Yürütmeyi geciktiren ve sistem profilini gerçekleştiren gömülü komut dosyaları içerir.
65167974B397493FCE320005916A13E9 Apt36 başlatıcı belge kısayolu olarak gizlenmiş; Meşru sesli bir işlem adı altında ikincil yükleri çalıştırmak için tasarlanmıştır.
6065407484f1e22e814dfa00bd1fae06 APT36’dan masaüstü dosyası; Dinamik analizi atlamak için uzun uykular ve hata ayıklama-çevre algılama kullanır.
5C71C683F55530C7347E0F47A1899 Apt36 resmi bir form olarak maskelenen dosya; Linux sistemlerinde .desktop yürütme mantığını kullanarak gömülü yükleri yürütür.
8D46A7E4A800D15E31FB0AA86D4D7B7F APT36 tarafından düşürülen kimlik avı cazibesi; Anti-analiz ve süreç maskesi özellikleri ile arka kapıyı başlatır.
589cf2077569b95178408f364a1aa721 Apt36. Desktop dosyası ilk uzlaşma için kullanılan; Tipik olarak gizli yürütme, sanal alan kaçırma ve isteğe bağlı C2 işaretini içerir.
B3F57FE1A541C364A5989046AC2CB9C5 Linux tabanlı hedefleme için APT36 tarafından kullanılan kötü niyetli kısayol; Uzun uykular ve ana bilgisayar kontrolleri kullanarak algılamadan kaçarken yükleri dağıtır.

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link