Zscaler ThreatLabz’daki siber güvenlik analistleri, kısa süre önce, Kavach olarak bilinen ve Şeffaf Kabile’nin (aka APT-36, C-Major, ve Mythic Leopard) aktif olarak Hindistan devlet kurumlarını hedef alıyor.
Kavach MFA uygulamalarının kötü amaçlı sürümlerini dağıtmak için, Transparent Tribe’daki tehdit aktörleri, Google reklamlarından yararlanarak birden fazla kötü amaçlı reklam kampanyası yürüttü.
Pakistan hükümetinin APT-36 grubundan sorumlu olduğuna inanılıyor. Bu grubun hedef kitlesi, öncelikli olarak Hindistan’daki devlet kurumlarında çalışan kullanıcılardır.
Hindistan Devlet Örgütlerini Hedef Alan Saldırı
Benzer şekilde, bu APT grubu, kayıtsız kullanıcılardan şifre toplamak amacıyla resmi hükümet portalları gibi görünen sahte web sitelerini kullandı.
Tehdit aktörü tarafından yakın zamanda gerçekleştirilen bir saldırı zinciri, Kavach’ın tehdit aktörü tarafından hedef alındığı ilk olay değil.
“@gov” ile e-posta adreslerinin kullanıcıları için[.]içinde” ve “@nic[.]Etki alanlarında, Kavach MFA uygulaması, e-posta hizmetinde oturum açmak için kullanmaları gereken zorunlu bir uygulamadır, çünkü bu uygulama ekstra bir güvenlik katmanı olarak çalışır.
Öldürme zincirini etkinleştirmek için genellikle meşru hükümeti, orduyu ve ilgili kurumları taklit ederler ve bu onların en çok kullandıkları taktiklerden biridir. Tehdit aktörü şu anda bir kampanya yürütüyor ve bunun bir istisnası yok.
Tehdit aktörleri, çeşitli etki alanlarının ve tehdit aktörlerinin sürekli olarak kaydettiği barındırılan web sayfalarının yardımıyla Kavach uygulamasının resmi web sitesini taklit etti.
Hindistan’da aktif olarak aranan Kavach ile ilgili anahtar kelimeler altında, tehdit aktörleri Google Ads’in ücretli arama özelliğini kullanarak sahte web sitelerini arama sonuçlarının en üstüne çıkarıyor.
Aşağıda, kampanyalarında tehdit aktörleri tarafından hedeflenen en iyi birkaç anahtar kelimeyi vurguladık:-
- indir
- kavach uygulaması
Tipik bir promosyon, saldırgan bir sonrakine geçmeden önce her web sitesi için yaklaşık bir ay sürer ve bu işlem birkaç kez tekrarlanır.
Bu tehdit grubu tarafından kontrol edilen belirli üçüncü taraf uygulama mağazaları aracılığıyla çeşitli uygulamalar indirilebilir.
Tehdit aktörleri tarafından işletilen web sitesi, kullanıcıları .NET tabanlı hileli yükleyiciye yönlendirdiği için bir ağ geçidi görevi görür ve bunu web sitelerini Google arama sonuçlarının en üst sıralarına iterek yapar.
Güvenlik analistleri ayrıca belgelenmemiş bir veri hırsızlığı aracı olan LimePad’in kullanımını da gözlemledi. Kavach uygulamasının oturum açma sayfası, Transparent Tribe operatörleri tarafından kaydedilen bir alan adı tarafından taklit ediliyor.
Bu web sayfasının benzersiz özelliği, yalnızca Hindistan IP adreslerine sahip Hintli kullanıcılar tarafından erişilebilir olmasıdır. Hintli bir kullanıcı değilseniz ve bu sahte sayfayı ziyaret ederseniz, sizi Hindistan Ulusal Bilişim Merkezi ana sayfasına yönlendirecektir.
Bu sayfa aracılığıyla ele geçirilen kimlik bilgileri uzak bir sunucuya gönderilir ve daha sonra bu çalınan kimlik bilgileri, tehdit aktörleri tarafından başka saldırılar başlatmak için kullanılır.
TTP’lerini ve araçlarını geliştirmeye devam ederken bu grubun cephaneliğine ek araçlar eklendi. Resmi mağazalar dışındaki belirli yerlerden uygulama indirirken, kullanıcılar dikkatli olmalı ve ne indirdiklerini bildiklerinden emin olmalıdır.
Ayrıca kullanıcılar, uygulamaları yalnızca saygın ve özgün kaynaklardan indirdiklerinden emin olmalıdır.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin