Az új malware kampány következő célpontja az indiai kormány alkalmazottai
Az Átlátszó törzs fenyegetettségét egy új kampányhoz hozták összefüggésbe, amely az indiai kormányzati szervezeteket célozza meg a kéttényezős hitelesítési megoldás trójai változataival. Kavach.
A Zscaler ThreatLabz kutatója, Sudeep Singh mondott egy csütörtöki elemzés szerint a csoport visszaél a Google hirdetéseivel abból a célból, hogy a Kavach multi-authentication (MFA) alkalmazások hátsó ajtós verzióit terjesztik.
A kiberbiztonsági cég közölte, hogy a fenyegető csoport kis mennyiségű hitelesítő adatgyűjtési támadásokat is végrehajtott. A hivatalos indiai kormányzati webhelyeknek álcázott szélhámos webhelyeket azért hozták létre, hogy rávegyék a nem szándékos felhasználókat jelszavaik megadására.
A Transparent Tribe, más néven APT36, Operation C-Major és Mythic Leopard, egy feltételezett pakisztáni ellenséges kollektíva. Az azonosított törzsnek története van sztrájkoló indiai és afganisztáni entitásokról.
A legújabb támadási lánc nem az első alkalom, hogy a fenyegetettség szereplője a Kavach (hindi nyelven „páncél”) alkalmazására szegezi tekintetét, egy olyan alkalmazásra, amelyre a @gov.in és @nic.in domain e-mail-címével rendelkező felhasználók jelentkezhetnek be. az e-mail szolgáltatáshoz, mint a hitelesítés második rétegéhez.
Március elején a Cisco Talos bemutatott egy hackerkampányt, amelyben hamis Windows-telepítőket alkalmazott a Kavach számára, hogy megfertőzze a kormányzati személyzetet CrimsonRAT-tal és más műtermékekkel.
Egyik közös taktikájuk a törvényes kormány, katonaság és kapcsolódó szervezetek utánzása a killchain aktiválása érdekében. Ez alól a fenyegetés szereplőjének legújabb kampánya sem kivétel.
"A fenyegetettség szereplője több olyan új domaint regisztrált, amelyek a hivatalos Kavach alkalmazásletöltő portálnak álcázott weboldalakat tartalmaznak" - mondta Singh. „Visszaéltek a Google Ads fizetett keresési funkciójával, hogy a rosszindulatú domaineket a Google keresési eredményeinek élére tegyék az indiai felhasználók számára.”
2022 májusa óta a Transparent Tribe állítólag a Kavach alkalmazás hátsó ajtós verzióit is terjeszti támadók által irányított alkalmazásboltokon keresztül, amelyek állításuk szerint ingyenes szoftverletöltéseket kínálnak.
Ez a webhely a Google keresései között is a legjobb találatként jelenik meg, és gyakorlatilag átjáróként szolgál az alkalmazást kereső felhasználók átirányításához a .NET-alapú csaló telepítőhöz.
A 2022 augusztusától kezdődő csoportot a LimePad kódnevű, korábban nem dokumentált adatszűrő eszközzel is megfigyelték, amely arra szolgál, hogy a fertőzött gazdagépről érdeklődő fájlokat töltsön fel a támadó szerverére.
Zscaler elmondta, hogy azonosított egy, a Transparent Tribe által regisztrált domaint is, amely meghamisította a Kavach alkalmazás bejelentkezési oldalát, amely csak indiai IP-címről volt elérhető, vagy pedig átirányította a látogatót az Indiai Nemzeti Informatikai Központ kezdőlapjára.
Az oldal a maga részéről úgy van felszerelve, hogy rögzítse az áldozat által bevitt hitelesítő adatokat, és elküldje azokat egy távoli szerverre, hogy további támadásokat hajtson végre a kormányzattal kapcsolatos infrastruktúra ellen.
A Google hirdetések és a LimePad használata rámutat arra, hogy a fenyegetés szereplői folyamatosan próbálják fejleszteni és finomítani taktikáját és a rosszindulatú programok eszközkészletét.
„Az APT-36 továbbra is az egyik legelterjedtebb fejlett, tartós fenyegetettségi csoport, amely az indiai kormányzati szervezetekben dolgozó felhasználókat célozza meg” – mondta Singh. „Az indiai kormányszervezeteknél belsőleg használt alkalmazások az APT-36 csoport által használt social engineering téma népszerű választása.”
Magyar 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada