Az új malware kampány következő célpontja az indiai kormány alkalmazottai
Az Átlátszó törzs fenyegetettségét egy új kampányhoz hozták összefüggésbe, amely az indiai kormányzati szervezeteket célozza meg a kéttényezős hitelesítési megoldás trójai változataival. Kavach.
A Zscaler ThreatLabz kutatója, Sudeep Singh mondott egy csütörtöki elemzés szerint a csoport visszaél a Google hirdetéseivel abból a célból, hogy a Kavach multi-authentication (MFA) alkalmazások hátsó ajtós verzióit terjesztik.
A kiberbiztonsági cég közölte, hogy a fenyegető csoport kis mennyiségű hitelesítő adatgyűjtési támadásokat is végrehajtott. A hivatalos indiai kormányzati webhelyeknek álcázott szélhámos webhelyeket azért hozták létre, hogy rávegyék a nem szándékos felhasználókat jelszavaik megadására.
A Transparent Tribe, más néven APT36, Operation C-Major és Mythic Leopard, egy feltételezett pakisztáni ellenséges kollektíva. Az azonosított törzsnek története van sztrájkoló indiai és afganisztáni entitásokról.
A legújabb támadási lánc nem az első alkalom, hogy a fenyegetettség szereplője a Kavach (hindi nyelven „páncél”) alkalmazására szegezi tekintetét, egy olyan alkalmazásra, amelyre a @gov.in és @nic.in domain e-mail-címével rendelkező felhasználók jelentkezhetnek be. az e-mail szolgáltatáshoz, mint a hitelesítés második rétegéhez.
Március elején a Cisco Talos bemutatott egy hackerkampányt, amelyben hamis Windows-telepítőket alkalmazott a Kavach számára, hogy megfertőzze a kormányzati személyzetet CrimsonRAT-tal és más műtermékekkel.
Egyik közös taktikájuk a törvényes kormány, katonaság és kapcsolódó szervezetek utánzása a killchain aktiválása érdekében. Ez alól a fenyegetés szereplőjének legújabb kampánya sem kivétel.
"A fenyegetettség szereplője több olyan új domaint regisztrált, amelyek a hivatalos Kavach alkalmazásletöltő portálnak álcázott weboldalakat tartalmaznak" - mondta Singh. „Visszaéltek a Google Ads fizetett keresési funkciójával, hogy a rosszindulatú domaineket a Google keresési eredményeinek élére tegyék az indiai felhasználók számára.”
2022 májusa óta a Transparent Tribe állítólag a Kavach alkalmazás hátsó ajtós verzióit is terjeszti támadók által irányított alkalmazásboltokon keresztül, amelyek állításuk szerint ingyenes szoftverletöltéseket kínálnak.
Ez a webhely a Google keresései között is a legjobb találatként jelenik meg, és gyakorlatilag átjáróként szolgál az alkalmazást kereső felhasználók átirányításához a .NET-alapú csaló telepítőhöz.
A 2022 augusztusától kezdődő csoportot a LimePad kódnevű, korábban nem dokumentált adatszűrő eszközzel is megfigyelték, amely arra szolgál, hogy a fertőzött gazdagépről érdeklődő fájlokat töltsön fel a támadó szerverére.
Zscaler elmondta, hogy azonosított egy, a Transparent Tribe által regisztrált domaint is, amely meghamisította a Kavach alkalmazás bejelentkezési oldalát, amely csak indiai IP-címről volt elérhető, vagy pedig átirányította a látogatót az Indiai Nemzeti Informatikai Központ kezdőlapjára.
Az oldal a maga részéről úgy van felszerelve, hogy rögzítse az áldozat által bevitt hitelesítő adatokat, és elküldje azokat egy távoli szerverre, hogy további támadásokat hajtson végre a kormányzattal kapcsolatos infrastruktúra ellen.
A Google hirdetések és a LimePad használata rámutat arra, hogy a fenyegetés szereplői folyamatosan próbálják fejleszteni és finomítani taktikáját és a rosszindulatú programok eszközkészletét.
„Az APT-36 továbbra is az egyik legelterjedtebb fejlett, tartós fenyegetettségi csoport, amely az indiai kormányzati szervezetekben dolgozó felhasználókat célozza meg” – mondta Singh. „Az indiai kormányszervezeteknél belsőleg használt alkalmazások az APT-36 csoport által használt social engineering téma népszerű választása.”