Proofpoint tehdit araştırması ile yakın zamanda yapılan derinlemesine bir analiz, Hint istihbarat çıkarları ile büyük olasılıkla büyük olasılıkla, devlet destekli bir tehdit aktörü olan acı olarak da bilinen TA397’nin sofistike operasyonlarına ışık tuttu.
Casusluk odaklı bir grup olarak tanımlanan TA397, Avrupa ve Asya’daki, özellikle Çin, Pakistan ve Hint alt kıtasının komşu bölgelerine bağlantıları olan varlıkları aktif olarak hedefliyor.
Ekim 2024 ve Nisan 2025 arasında gözlemlenen kampanyaları, kurbanları cezbetmek için jeopolitik temalardan yararlanan mızrak yazılım taktikleri ile birleştiğinde, planlanan görevlerin kötü amaçlı yazılım dağıtım için temel bir mekanizma olarak kalıcı bir şekilde kullanılmasını ortaya koymaktadır.
.png
)
Hindistan hizalı bir casusluk grubunun taktikleri
Altyapı zaman damgaları ve uygulamalı klaviye etkinliği ile kanıtlandığı gibi standart Hint standart zaman (IST) çalışma saatleri içinde faaliyet gösteren TA397’nin yöntemleri, tespiti atlatmada ve zeka toplama hedeflerine ulaşmada hem tutarlılığı hem de uyarlanabilirliği sergilemektedir.
TA397’nin birincil saldırı vektörü, cazibelerine güvenilirlik katmak için Madagaskar, Mauritius ve Çin gibi ülkelerden meşru hükümet kuruluşları olarak maskelenen açık e -postalar olmaya devam ediyor.
E-postaları, genellikle hedeflenen sistemlerde planlanmış görevler oluşturan enfeksiyon zincirlerini başlatan meşru dosya paylaşım platformlarında barındırılan kötü niyetli ekler veya URL’ler içerir.
PowerShell ve CMD.EXE gibi araçlar aracılığıyla yürütülen bu görevler, Beacon, her 16 ila 19 dakikada bir alan adlarını sahnelemeye ve bilgisayar adları ve kullanıcı adları gibi kurban tanımlayıcıları aktör kontrollü sunuculara iletir.
Manuel Yük Teslimat
Rapora göre, Proofpoint’in araştırması, TA397’nin Microsoft Search Connector (MSC) dosyaları ve uzaktan kod yürütme için CVE-2024-43572 (GrimResource) gibi istismarlar dahil olmak üzere sık sık ezoterik dosya türleriyle deneylerin, yerleşik çerçeveleri içinde yenilik yapma isteğini gösterdiğini vurgulamaktadır.
Operasyonlarının dikkate değer bir yönü, WMRAT, Miyarat ve Bdarkrat gibi ikinci aşama yüklerin manuel olarak dağıtılmasıdır, ancak hedefin sistem numaralandırma verilerine dayanan alaka düzeyini değerlendirdikten sonra, casus kaynaklı bir hassasiyetin ayırt edici özelliğidir.
Gözlemlenen bir kampanya, operatörlerin belirli IST ile uyumlu zaman damgalarında manuel olarak komutlar verdiğini, başarısız yük alımları ve daha sonraki düzeltmeler gibi hataları ortaya çıkardığını ve uygulamalı yaklaşımlarının altını çizdiğini gördü.
Altyapı analizi, alan adı kaydı, pasif DNS ile TA397’yi Hindistan’a daha fazla bağlar ve Sertifika zaman damgalarını sürekli olarak IST çalışma saatleriyle eşleştirirken, Beaconing’deki PHP URL kalıpları ve mağdur verileri, algılama için yüksek güvenilir bir parmak izi sağlar.
Bu göstergeler, siber güvenlik ekiplerinin TA397’nin faaliyetlerini izlemesi ve azaltması için kritik veri noktaları sağlar, bu da gelişen taktiklerine karşı koymak için güçlü e -posta güvenliği ve uç nokta algılama ihtiyacını güçlendirir.
Uzlaşma Göstergeleri (IOC)
| Gösterge | Tip | Tanım | İlk görüldü |
|---|---|---|---|
| mneneutoregsvc[.]com | İhtisas | Evreleme alanı | Ekim 2024 |
| Jacknwoods[.]com | İhtisas | Evreleme alanı | Kasım 2024 |
| 1b67fc55fd050d011d6712ac17315112767cac8bbe059967b70147610933b6c1 | SHA256 | LNK Zamanlanmış Görev Yükleyici | Aralık 2024 |
| hxxp: // 46[.]229[.]55[.]63/svch.php? Li =%computherName%[.][.]%Kullanıcı adı% | Url | Yük dağıtım | Aralık 2024 |
| UTizViewStation[.]com | İhtisas | Evreleme alanı | Şubat 2025 |
| Blucolline Soutia[.]com | İhtisas | Evreleme alanı | Mart 2025 |
| Princecleanit[.]com | İhtisas | Evreleme alanı | Mart 2025 |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun