Pakistan bağlantılı tehdit aktörleri tarafından düzenlenen karmaşık bir kimlik avı kampanyasının, Ulusal Bilişim Merkezi’nin e-posta hizmetlerini taklit ederek Hindistan hükümet kuruluşlarını hedef aldığı keşfedildi.
TransparentTribe olarak da bilinen APT36’ya atfedilen operasyon, meşru NIC e-E-posta Hizmetleri yazışmaları gibi görünecek şekilde tasarlanmış yanıltıcı e-posta iletişimleri yoluyla hassas hükümet altyapısını tehlikeye atmak için sosyal mühendislik taktiklerinden yararlanıyor.
Kampanya, NIC’in yerleşik e-posta altyapısıyla ilişkili güveni istismar ederek, resmi hükümet iletişim kanallarını taklit eden, özenle hazırlanmış kimlik avı tuzakları kullanıyor.
Tehdit aktörleri, gerçek hükümet yazışmaları gibi davranarak yetkilileri kimlik bilgilerini ifşa etmeleri veya kötü amaçlı veriler indirmeleri için kandırmayı amaçlıyor.
Bu hedefleme stratejisi, grubun Hindistan hükümeti iletişim protokolleri konusundaki derin anlayışını ve Hindistan’ın idari ve savunma sektörlerine karşı istihbarat toplama operasyonlarına sürekli odaklandıklarını gösteriyor.
Siber Ekip analistleri, bu kampanyayı destekleyen kötü amaçlı altyapıyı tespit ederek, kimlik bilgilerinin toplanmasını ve veri sızmasını kolaylaştırmak için tasarlanmış sahte alan adları ve komuta ve kontrol sunucularından oluşan bir ağı ortaya çıkardı.
Operasyon, APT36’nın Hindistan hükümeti hedeflerine karşı uzun süredir devam eden casusluk faaliyetlerinin bir devamını temsil ediyor ve grubun hassas hükümet iletişimlerini tehlikeye atma konusundaki ısrarlı ilgisini yansıtıyor.
Altyapı ve Teknik Göstergeler
Saldırı altyapısı, sahte etki alanı hesapları etrafında yoğunlaşan çok katmanlı bir komuta ve kontrol çerçevesini ortaya çıkarıyor.mgovcloud[.]savunma bakanlığında[.]live, yasal devlet bulut hizmetlerini yakından taklit ediyor.
Birincil kötü amaçlı etki alanısavunma departmanı[.]live, kimlik avı operasyonunun temelini oluştururken IP adresi 81.180.93[.]5, 8080 numaralı bağlantı noktasından erişilebilen C2 işlevselliğine sahip gizli bir sunucu olarak çalışır.
Ek altyapı IP 45.141.59’u içerir[.]168, düşmanın komuta ve kontrol ağına yedeklilik ve esneklik sağlıyor.
Bu gelişmiş kurulum, tehdit aktörlerinin, ilişkilendirme ve kaldırma çabalarını zorlaştıran dağıtılmış bir altyapı yoluyla tespitten kaçarken kalıcı erişimi sürdürmesine olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
