APT36 veya Şeffaf Kabile olarak bilinen Pakistan merkezli bir siber casusluk grubu, Hint savunma personelini hedefleyen ve hassas askeri ağlarda uzun vadeli sızıntı oluşturmak için tasarlanmış kimlik bilgisi çalma kötü amaçlı yazılımlarını kullanarak son derece sofistike bir kimlik avı kampanyası başlattı.
Kampanya, resmi hükümet iletişiminin doğasında var olan güvenden yararlanan ileri sosyal mühendislik tekniklerini kullanarak ulus devlet siber tehditlerinde önemli bir artışı temsil ediyor.
Saldırı vektörü, meşru hükümet belgelerini taklit eden kötü niyetli PDF ekleri içeren titizlikle hazırlanmış kimlik avı e -postalarına dayanmaktadır.
.png
)
Alıcılar bu PDF’leri açtıklarında, belgenin korunduğunu ve içeriğe erişmek için kullanıcı etkileşimi gerektirdiğini belirten bir mesajla birlikte, özgünlük oluşturmak için tasarlanmış kasıtlı olarak bulanık bir arka planla karşılaşırlar.
Cyfirma analistleri, belirgin bir şekilde görüntülenen “Belgeyi Görüntülemek için Tıklayın” düğmesini tıklamanın, kullanıcıları Ulusal Bilişim Merkezi (NIC) giriş arayüzünü taklit eden hileli bir URL’ye yönlendirdiğini ve sonuçta gizlenmiş kötü amaçlı yazılım içeren bir zip arşivinin indirilmesini başlattığını belirledi.
Kötü amaçlı yazılım hedeflenen sistemlerde kalıcı erişim mekanizmaları oluşturduğundan, kampanyanın etkisi anında kimlik bilgisi hırsızlığının ötesine uzanır.
Operasyon, APT36’nın Hindistan’ın savunma altyapısında uzun vadeli varlığın sürdürülmesini ve mevcut siber güvenlik protokollerindeki kritik güvenlik açıklarını vurgulayarak stratejik hedefini göstermektedir.
İlgili kötü niyetli alan 23 Ekim 2024’te 23 Ekim 2025 tarihli bir son kullanma tarihi ile hesaplanmış, kısa vadeli bir dağıtım stratejisi önerdi.
Teknik Enfeksiyon Mekanizması ve Kaçma Taktikleri
Kötü amaçlı yazılım enfeksiyon mekanizması, tespit ve analizden kaçınmak için tasarlanmış gelişmiş teknik yetenekleri ortaya koymaktadır.
“PO-00343125.pdf.exe” adlı yürütülebilir dosyada, Windows API işlevi dahil olmak üzere birden fazla anti-analiz tekniği kullanıyor IsDebuggerPresent hata ayıklama ortamlarını tespit etmek için.
.webp)
X64DBG, Windbg veya OLLYDBG gibi analiz araçlarının tespiti üzerine, kötü amaçlı yazılım, yürütmeyi sonlandırmadan önce “Bu üçüncü taraf derlenmiş bir komut dosyasıdır” belirten kritik bir mesaj görüntüler.
Ayrıca, kötü amaçlı yazılım kullanır IsWow64Process 64 bit sistemlerde çalışan 32 bit işlemi tanımlamak için, sanallaştırılmış veya analiz ortamlarının ortak bir göstergesi.
Kötü amaçlı yazılımın kaynak yükleme mekanizması kullanır FindResourceExW Daha sonra COM veya ActiveScript arabirimleri aracılığıyla yürütülen gömülü bir komut dosyası kaynağı bulmak için geleneksel algılama yöntemlerini atlayan sözsüz yürütmeyi mümkün kılar.
Bu çok katmanlı yaklaşım, APT36’nın özellikle yüksek değerli savunma sektörü hedeflerini hedefleyen tespit dirençli kötü amaçlı yazılımların geliştirilmesinde gelişen sofistike olduğunu göstermektedir.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial