TransparentTribe olarak da bilinen Pakistan merkezli gelişmiş kalıcı tehdit grubu APT36, “NIC e-posta Hizmetleri” temalı e-posta tuzaklarını kullanarak karmaşık bir hedef odaklı kimlik avı kampanyasıyla Hindistan hükümet kuruluşlarını aktif olarak hedefliyor.
Bu kampanya, kimlik bilgilerini çalmak ve uzun vadeli casusluğa olanak sağlamak için benzer alanlardan ve silahlı altyapıdan yararlanıyor.
Saldırı, Hindistan hükümetinin e-posta ve BT hizmetlerine yönelik dijital omurgası olan Ulusal Bilişim Merkezi’nden (NIC) gelen resmi bildirimleri ikna edici bir şekilde taklit eden e-posta mesajlarıyla başlıyor.
Mağdurlara, e-posta adresleri ve şifreler gibi hassas bilgileri toplamak için tasarlanmış “NICeMail Hizmetleri” markalı sahte bir giriş portalı sunuluyor.
Giriş sayfası, meşru NIC web postası arayüzünü yakından taklit ederek kampanyanın özgünlüğünü ve başarı olasılığını daha da artırır.
Bu operasyonu destekleyen kötü amaçlı altyapı, son APT36 etkinliğine bağlı çeşitli alan adları ve sunuculardan oluşuyor:
- account.mgovcloud[.]savunma bakanlığında[.]canlı: Bu alan adı, NIC’in orijinal web portalının görünümünü ve tarzını taklit eden kimlik avı sayfasını barındırır ve sahte oturum açma formunda gönderilen kullanıcı kimlik bilgilerini toplar.
- savunma bakanlığı[.]canlı: Bir ana alan adı görevi görür ve düşündürücü hükümet bağlantısı sayesinde ek güvenilirlik sağlar.
- 81.180.93[.]5: 8080 numaralı bağlantı noktası üzerinden erişilebilen bir “Gizli Sunucu” Komuta ve Kontrol (C2) arayüzüne bağlıdır. Bu panel, virüslü sistemlerden sızan verileri almak ve güvenlik ihlali sonrasında konuşlandırılan kötü amaçlı yazılım implantlarını kontrol etmek için kullanılır.
- 45.141.59[.]168: Kampanyaya dahil olan, potansiyel olarak kötü amaçlı yazılım yüklerini barındıran veya C2 iletişimlerini kolaylaştıran başka bir IP.
Ağ tarama verileri, kimlik avı alanı için geçerli bir TLS sertifikasını doğrular; bu, tarayıcı uyarılarını önlemek ve hedeflenen kullanıcıların gözünde meşruiyeti güçlendirmek için ekstra bir operasyonel güvenlik katmanına işaret eder.
TransparentTribe’ın Kalıcı Casusluğu
APT36 veya TransparentTribe, Hindistan’ın savunma, diplomatik ve hükümet kuruluşlarında uzun süredir çıkarları olan ve Pakistan’a atfedilen kötü şöhretli bir tehdit grubudur.
Grubun işleyiş biçimi genellikle hedef odaklı kimlik avı ve veri hırsızlığı ve casusluğu kolaylaştırmak için özel olarak tasarlanmış kötü amaçlı yazılım dağıtımını içeriyor.
APT36, son derece gerçekçi kimlik avı sayfaları, açık kaynaklı saldırı çerçevelerinin kullanımı ve mağdurun etkileşim olasılığını artırmak için güncel jeopolitik olaylardan yararlanma dahil olmak üzere sürekli gelişen taktikler kullanır.
Rutin bir NIC hizmet bildirimi görünümüne bürünen bu son kampanya, tehdit grubunun güvenden yararlanma ve temel güvenlik kontrollerinden kaçma becerisini örnekliyor.
Azaltmalar
Güvenlik uzmanları, Hindistan hükümeti kullanıcılarına ve bağlı kuruluşlara, özellikle beklenmedik veya resmi olmayan giriş portallarına kimlik bilgilerini girmeleri istendiğinde daha dikkatli olmalarını tavsiye ediyor.
Yukarıda listelenen etki alanları ve IP adresleri gibi güvenlik ihlali göstergeleri ağ düzeyinde engellenmeli ve kullanıcılar hedef odaklı kimlik avının açık işaretleri konusunda eğitilmelidir.
BT departmanlarının çok faktörlü kimlik doğrulamayı uygulamaya koyması ve kimlik bilgilerinin kötüye kullanılması veya anormal oturum açma işlemlerini sürekli olarak izlemesi tavsiye edilir; çünkü bu önlemler APT36’nın birincil saldırı vektörlerini engellemeye yardımcı olabilir.
Grubun kararlılığı ve uyarlanabilir stratejileri göz önüne alındığında, proaktif savunma ve siber hijyen, hassas hükümet sistemlerini devlet destekli tehditlere karşı korumak açısından kritik olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.