Yeni tanımlanmış bir siber saldırı kampanyası ortaya çıktı ve hem Windows hem de Linux sistemlerini hedefleyen platformlar arası kötü amaçlı yazılımları dağıtmak için Hindistan Savunma Bakanlığı’nın tanınabilir markalamasından yararlandı.
Hunt.io’daki tehdit istihbarat araştırmacıları tarafından ortaya çıkarılan bu operasyon, şüphesiz kullanıcıları kötü amaçlı yükler yürütmeye teşvik etmek için resmi hükümet basın bülteni portallarını taklit ederek bir tıklama tarzı enfeksiyon zinciri kullanıyor.
Saldırganlar, şüpheyi azaltmak ve e -posta olarak tanımlanan kötü amaçlı sitelerinin güvenilirliğini artırmak için altyapı sahtekarlığı ve görsel aldatmacayı kullanarak bakanlığın web sitesini titizlikle klonladı.[.]bilgi.
.png
)
Saldırı, halka açık web sitesi klonlama aracı HTTRACK kullanılarak hazırlanan Meşru Savunma Bakanlığı basın açıklaması arşivinin yapısını ve düzenini yakından kopyalayan aldatıcı bir açılış sayfası ile başlar ve meta veriler klonun 2025 yılının başlarında oluşturulduğunu gösterir.
Çok platform saldırısının teknik detayları
Bu sahte portalda, Mart 2025 için yalnızca tek bir aktif bağlantı işlevseldir ve kullanıcıları özel bir ClickFix Sosyal Mühendislik Tuzağı’na yönlendirir.
Mağdurun işletim sistemine bağlı olarak, saldırı belirli PHP sayfalarına yönlendirilir-/captcha/windows.php Windows için ve /captcha/linux.php için Linux için.
Windows kullanıcıları, meşru bir hükümet sitesinin bulanık bir arka planına sahip bir “Yalnızca Resmi Kullanım için (FOUO)” uyarı kaplamasıyla karşılaşır ve ardından Trade4Wealth’den MSHTA.EXE aracılığıyla uzaktan yük yürüten bir pano komutu ile karşılaşır.[.]kötü amaçlı bir IP’ye bağlanan bir .NET tabanlı yükleyici teslim etmek (185.117.90[.]212).
Linux kullanıcılarına, şu anda iyi huylu olmasına rağmen, bir komut dosyasını (Mapeal.sh) indirmek ve yürütmek için bir kabuk komutunu sessizce kopyalayan, yanlış yazılmış bir “Ben bir Rebot Değil” düğmesi içeren bir captcha lure sunulur.
Hunt raporuna göre, her iki akış da kötü amaçlı yazılım yürütme sırasında meşruiyet yanılsamasını korumak için tuzak içeriği benzeri klonlanmış basın bültenleri kullanıyor.
Kampanyanın, devlet temalı yemleri, HTA yükleri ve yazgıldırma da dahil olmak üzere, Hint hükümetlerini hedeflediği bilinen Pakistan uyumlu bir tehdit aktörü olan APT36 (şeffaf kabile) ile bağlantılı kalıplarla hizalanıyor ve bu gruba orta-güven veriyor.
Bu saldırı, tanıdık ClickFix tekniklerinin ince yeniliklerle gelişen yeniden kullanılmasının altını çizerek, pano tabanlı yürütmeye, sahte alt alanlara ve sığ web sitesi klonlarına karşı uyanıklık ihtiyacını vurgulamaktadır.
Aşağıda, savunucuların potansiyel tehditleri izlemesi ve azaltması için bu kampanyayla ilişkili uzlaşmanın (IOC’ler) temel göstergeleri verilmiştir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Detaylar |
|---|---|---|
| IP adresi | 192.64.118[.]76 | E -postaya bağlı[.]gov[.]içinde[.]drdosurvey[.]bilgi |
| IP adresi | 185.117.90[.]212 | E -postaya bağlı[.]gov[.]içinde[.]Avtzyu[.]mağaza |
| Dosya (HTA) | Sysinte.hta | Sha-256: 7087e5f768ad83550e6b1b96964708d2797e8f6e3f9a9d69c7777d030e |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!