Şeffaf kabile veya efsanevi leopar olarak da bilinen Pakistan bağlantılı APT36 grubuna orta güvenle atfedilen sofistike bir kimlik avı kampanyası, Hint savunma organizasyonlarını ve hükümet kuruluşlarını hedefleyen ortaya çıktı.
Bu operasyon, kullanıcıları teslim edici kimlik bilgilerine kandırmak için mail.mgovcloud.in ve virtualeoffice.cloud gibi resmi Hint hükümet platformlarını taklit eden yazım hatalı alanlar kullanır.
Kampanya, meşru hükümet portallarını sahte olarak, güvenilirliği arttırmak için güvenilir siber güvenlik raporlarını ekleyerek ve Ulusal Bilişim Merkezi (NIC) tarafından geliştirilen Kavach çok faktörlü kimlik doğrulama (MFA) sisteminden gerçek zamanlı tek seferlik şifreleri (OTP) hasat ederek geliştirdi.
Gelişmiş kimlik avı taktikleri
Bu kötü amaçlı URL’lere eriştikten sonra, kurbanlar, e-posta kimliklerinin, şifrelerin ve Kavach tarafından oluşturulan OTP’lerin girdilerini isteyen resmi logoları, düzenleri ve başlıkları çoğaltan sahte web sayfalarına yönlendirilir.
Bu gerçek zamanlı kimlik hırsızlığı, MFA korumalarını atlamayı, hassas e-posta hesaplarına yetkisiz erişim sağlayan ve potansiyel olarak ulusal güvenlik altyapısı için önemli bir risk oluşturan sınıflandırılmış verileri ortaya çıkarmayı amaçlamaktadır.
Kimlik avı altyapısı, teknik gelişmişliği gösterir, alan adları 99.83.175.80 (Amazon’un AS16509’da barındırılır) ve 37.221.64.202 gibi IP adreslerine karar verir, ikincisi 443 numaralı bağlantı noktasına (C2) uzaktan HTTP’lerin bağlantıları oluşturur.
Analiz, bu IP’lerin genellikle yazım hatası kampanyalarıyla bağlantılı kimlik avı faaliyetleri için tehdit istihbarat yemlerinde işaretlendiğini ortaya koymaktadır.
Mart 2024 ve Temmuz 2025 arasında kaydedilen ek alanlar, Hindistan hükümet kuruluşları ve Pakistanlı BT firması Zah bilgisayarlarına bağlı altyapı da dahil olmak üzere, doğrudan katılım veya tehlikeye atılmış evreleme sunucularına bağlı altyapı da dahil olmak üzere koordineli kalıplar sergilemektedir.
Bu kurulum, mızrak-akma ekleri, kötü niyetli bağlantılar ve başlangıç erişiminde (T1566.001) ve web uygulamalarındaki güvenlik açıklarının kullanıcı etkileşimi (T1204.001) ve yerel sistemlerden (T1005) uygulama (T1204.001) ve veri toplama dahil olmak üzere APT36’nın bilinen taktikleri, teknikleri ve prosedürleri (TTPS) ile uyumludur.
APT36’ya Atfet
APT36’ya atfetme, grubun 2016’dan bu yana devlet destekli siber casusluk tarihi tarafından güçlendirilmiştir, Hindistan ve ötesindeki varlıkları askeri ve diplomatik zeka için hedefler.
Pakistan’dan faaliyet gösteren grup, bilgi için bilgi avı (T1598), etki alanı edinimi (T1583.001) yoluyla kaynak geliştirme ve kayıt defteri run tuşları (T1547.001) gibi kalıcılık mekanizmaları kullanır.
Sistem sahibi/kullanıcı keşfi (T1033) ve proses keşfi (T1057) gibi keşif teknikleri, C2 kanalları (T1041) üzerinde pesfiltrasyonla sonuçlanan daha derin infiltrasyonu kolaylaştırır.
Kampanyanın sulama deliği saldırıları ve tıklama düzeltme teknikleri kullanımı, APT36’nın modus operandi’yi yansıtıyor ve Hindistan, Afganistan ve BAE gibi coğrafyalarda havacılık, savunma, hükümet ve ordu gibi sektörleri etkiliyor.
İş yansımaları arasında veri hırsızlığı, operasyonel bozulma ve itibar hasarı, güçlü savunma ihtiyacının altını çizmektedir.
Bu tehdide karşı koymak için uzmanlar, sahte alanların hızlı yayından kaldırılması ve siber güvenlik farkındalık kampanyalarını teşvik etmek için ulusal alan politikalarının uygulanması gibi stratejik önlemleri önermektedir.
Operasyonel olarak, çok katmanlı e-posta filtreleme, davranışsal analiz yoluyla gerçek zamanlı OTP istismar tespiti ve DNS filtreleme ve TLS şifre çözme yoluyla ağ sertleştirme esastır.
Yönetim, politika uygulama, olay tepkisi hazırlığı ve APT taktikleri konusunda zorunlu eğitime öncelik vermelidir.
Özel bir Yara kuralı, apt36_phing_indicators, proaktif hafifletmeye yardımcı olan IPS 99.83.175.80 ve 37.221.64.202 gibi ilişkili IOC’leri tespit eder.
Bu kampanya, kritik varlıkların korunması için uyanık yönetişim talep ederek devlet destekli tehditlerin gelişen manzarasını vurgulamaktadır.
IOCS Listesi
| Sl. HAYIR | Uzlaşma göstergesi | Tavsiye |
|---|---|---|
| 1 | 99.83.175.80 | Engellemek |
| 2 | 37.221.64.202 | Engellemek |
| 3 | 104.21.76.236 | Engellemek |
| 4 | 172.67.202.22 | Engellemek |
| 5 | mgovcloud.in | Engellemek |
| 6 | Virtuluceoffice.cloud | Engellemek |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!