Şeffaf Kabile olarak da bilinen Pakistan merkezli tehdit aktörü APT36, yeni geliştirilen Python tabanlı ELF kötü amaçlı yazılımını kullanarak Hindistan hükümet kurumlarına karşı karmaşık bir siber casusluk kampanyası başlattı.
Saldırı, grubun yeteneklerinde önemli bir artışa işaret ediyor ve grubun artan teknik olgunluğunu ve Linux tabanlı işletim sistemlerine uyarlanabilirliğini gösteriyor.
Kampanya, devlet çalışanlarını aldatmak için tasarlanmış silahlı Linux kısayol dosyalarını içeren hedef odaklı kimlik avı e-postalarına odaklanıyor.
Alıcılar bu dosyaları çıkardığında ve açtığında, kötü amaçlı yazılım, arka planda kötü amaçlı bileşenleri sessizce indirip çalıştırırken, kullanıcıya görünüşte zararsız içerik görüntüler.
Bu çift katmanlı yaklaşım, saldırganların kritik altyapıya kalıcı erişim sağlarken gizliliğini korumasına olanak tanır. APT36’nın Linux hedeflemeye doğru kayması, operasyonel doktrinlerinde stratejik bir evrimi temsil ediyor.
Grup geçmişte Windows tabanlı saldırılara odaklanmıştı ancak bu yeni kampanya, onların Hindistan devlet kurumlarında yaygın olarak kullanılan BOSS işletim sistemini hedefleme kararlılığını ortaya koyuyor.
Tehdit aktörleri, araçlarını birden çok platformdan yararlanacak şekilde uyarlayarak saldırı yüzeyini ve operasyonel etkinliğini önemli ölçüde genişletiyor.
Cyfirma güvenlik analistleri, silahlı .desktop dosyalarının hedefe yönelik kimlik avı kampanyaları aracılığıyla dağıtıldığını keşfettikten sonra kötü amaçlı yazılımı tespit etti.
.webp)
Araştırmacılar, enfeksiyon zincirinin, çok aşamalı bir yük dağıtım sürecini tetikleyen kötü amaçlı kısayolu içeren aldatıcı bir arşiv dosyasıyla başladığını belirtti.
Kısayol yürütüldükten sonra, kullanıcının dikkatini dağıtmak için sahte bir PDF belgesi indirirken aynı zamanda saldırganın kontrol ettiği sunuculardan gerçek ELF kötü amaçlı yazılım yükünü alıp yükler.
Kötü amaçlı yazılımın bulaşma mekanizması
Kötü amaçlı yazılımın bulaşma mekanizması, aracı dağıtım vektörleri olarak .desktop dosyalarına dayanır ve bu, tehdit aktörlerinin veri dağıtımında esnekliği korurken kötü niyetli niyetlerini gizlemelerine olanak tanır.
Güvenlik sistemlerinin daha kolay algılayabildiği ELF ikili dosyalarının doğrudan iletilmesinin aksine, .desktop dosyaları, gömülü komutları çalıştırırken Linux kullanıcıları için meşru görünür.
.webp)
Bash dosyasının kaynak kodu (Kaynak – Cyfirma)
Bu yaklaşım, dinamik yük alımına olanak tanır ve adli kanıtları önemli ölçüde azaltır.
.webp)
Çıkarılan kötü amaçlı yazılımın analizi, keyfi kabuk komutlarını yürütebilen, komut ve kontrol iletişimi kurabilen, ekran görüntüleri yakalayan ve verileri dışarı sızdırabilen, zengin özelliklere sahip bir uzaktan erişim aracını ortaya koyuyor.
Kötü amaçlı yazılım, sistem yeniden başlatmalarında ve kullanıcı oturumlarında çalışmaya devam etmesini sağlamak için kalıcılık oluşturmak için systemd kullanıcı düzeyindeki hizmetleri kullanır.
Araştırmacılar, tehdit aktörünün, geleneksel güvenlik kontrollerini atlamak ve tespit edilmeden varlığını sürdürmek için stratejik olarak .desktop dosya biçimini kabuk komut dosyası yürütmeyle birlikte kullandığını keşfetti.
Kampanya altyapısı, yakın zamanda kaydedilmiş alan adlarını ve birden fazla ülkede bulunan, güvenliği ihlal edilmiş sunucuları kullanıyor.
Kötü amaçlı alan adı lionsdenim[.]Yalnızca 22 gün önce kaydedilen xyz, Frankfurt’ta 185.235.137.90 IP adresiyle birleştirildiğinde yük dağıtımını kolaylaştırır.
Hindistan devlet kurumlarının, bu kalıcı tehdide karşı koymak için gelişmiş e-posta güvenliği, uç nokta tespiti ve yanıt çözümleri ve katı uygulama yetkilendirme politikaları dahil olmak üzere acil hafifletme önlemleri uygulaması gerekiyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
