Olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü Şeffaf kabile Hindistan Hükümet Varlıklarını hedefleyen saldırılarda kötü amaçlı masaüstü kısayol dosyaları olan Windows hem de Boss (Bharat İşletim Sistemi Çözümleri) Linux sistemlerini hedeflemiştir.
Cyfirma, “İlk erişim mızrak aktı e-postaları ile elde ediliyor.” Dedi. “Linux Boss ortamları, açıldıktan sonra, kötü amaçlı yükleri indirip yürüten Silahlı .desktop kısayol dosyaları aracılığıyla hedeflenir.”
APT36 olarak da adlandırılan şeffaf kabile, Pakistan kökenli olarak değerlendirilir, grup-alt küme sepetiyle birlikte-çeşitli uzaktan erişim truva atlarına (sıçanlar) sahip Hint hükümet kurumlarına girme geçmişine sahiptir.
En son çift platform, düşmanca kolektifin devam eden sofistike olduğunu gösterir, bu da hedefleme ayak izini genişletmesine ve tehlikeye atılan ortamlara erişim sağlamasını sağlar.
Saldırı zincirleri, gerçekte bubi tuzaklı Linux masaüstü kısayol dosyalarından (“toplantı_ltr_id1543ops.pdf.desktop”) başka bir şey olmayan sözde toplantı bildirimleri taşıyan kimlik avı e-postaları ile başlar. Bu dosyalar, alıcıları açmak için kandırmak için PDF belgeleri olarak maskelenir ve bir kabuk komut dosyasının yürütülmesine yol açar.
Kabuk komut dosyası, saldırgan kontrollü bir sunucudan (“Securestore[.]CV “) ve bir elf ikili olarak diski kaydederken, aynı anda Mozilla Firefox’u başlatarak Google Drive’da barındırılan bir tuzak PDF’yi açarken. Go tabanlı ikili, sert kodlu komut ve kontrol (C2) sunucusu, modgovindia ile temas kurar,[.]Alan: 4000, komut almak, yükleri almak ve verileri dışarı atmak için.
Kötü amaçlı yazılım ayrıca, bir sistem yeniden başlatılmasından veya işlem sonlandırılmasından sonra ana yükü otomatik olarak yürüten bir CRON işi aracılığıyla kalıcılık oluşturur.
Aktiviteyi bağımsız olarak bildiren siber güvenlik şirketi CloudSek, kötü amaçlı yazılımın sistem keşfi gerçekleştirdiğini ve emülatörleri ve statik analizörleri atmak için bir dizi kukla anti-anti-anti-anti-anti-anti-sandbox denetimi yapmak için donanımlı olduğunu söyledi.
Ayrıca, Hunt.io’nun kampanya analizi, saldırıların veri toplama, uzun vadeli erişim, kimlik bilgisi hasat ve potansiyel olarak yanal hareket sağlayan Poseidon adlı bilinen bir şeffaf kabile arka kapısını dağıtmak için tasarlandığını ortaya koydu.
Cyfirma, “APT36’nın teslimat mekanizmalarını mağdurun işletme ortamına göre özelleştirme yeteneği, böylece kritik hükümet altyapısına kalıcı erişimi sürdürürken ve geleneksel güvenlik kontrollerinden kaçınırken başarı şansını artırıyor.” Dedi.
Açıklama, şeffaf kabile aktörlerinin, kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak amacıyla sahte alanlar kullanan Hint savunma organizasyonlarını ve ilgili hükümet kuruluşlarını hedeflemeden haftalar sonra geliyor. Kullanıcıların mızrak aktı e-postaları aracılığıyla bu URL’lere yönlendirildiğine inanılmaktadır.
Cyfirma, “İlk kimlik avı sayfasında geçerli bir e -posta kimliği girip ‘sonraki’ düğmesini tıkladıktan sonra, kurban, kullanıcıyı e -posta hesabı şifresini ve Kavach kimlik doğrulama kodunu girmesini isteyen ikinci bir sayfaya yönlendirilir.” Dedi.
Hindistan hükümet kurumları tarafından hesap güvenliğini artırmak için kullanılan 2FA çözümünün hedeflenmesinin, 2022’nin başından beri şeffaf kabile ve sepet tarafından benimsenen denenmiş ve test edilmiş bir taktik olduğunu belirtmek gerekir.
Şirket, “Pakistan merkezli sunucularda barındırılan altyapı ile birlikte yazım hatalı alanların kullanımı, grubun yerleşik taktikleri, teknikleri ve prosedürleri ile tutarlıdır.” Dedi.
Bulgular ayrıca, NetLify ve Pages.deV’de barındırılan benzeri sayfalar kullanılarak kimlik bilgisi hırsızlığı kullanılarak tasarlanan mızrak akhisli e-postalar aracılığıyla Bangladeş, Nepal, Pakistan, Sri Lanka ve Türkiye’ye vurma eğilimli bir Güney Asya tarafından üstlenilen ayrı bir kampanyanın keşfini takip ediyor.
Hunt.io, bu ayın başlarında SideWinder adlı bir hack grubuna atfeterek, “Bu kampanyalar kurbanları sahte oturum açma sayfalarına kimlik bilgilerine girmek için taklit etmek için resmi iletişimi taklit ediyor,” dedi.
“Sahtekâr Zimbra ve Güvenli Portal sayfaları, resmi hükümet e-postası, dosya paylaşımı veya yükleme hizmetlerini belgelemek için yapıldı ve kurbanların sahte giriş panelleri aracılığıyla kimlik bilgileri göndermelerini istedi.”