புதிய மால்வேர் பிரச்சாரத்தின் அடுத்த இலக்கு இந்திய அரசு ஊழியர்கள்
வெளிப்படையான பழங்குடி அச்சுறுத்தல் நடிகர் இந்திய அரசாங்க நிறுவனங்களை இலக்காகக் கொண்ட புதிய பிரச்சாரத்துடன் இணைக்கப்பட்டுள்ளார், இது இரண்டு காரணி அங்கீகார தீர்வின் ட்ரோஜனேற்றப்பட்ட பதிப்புகளுடன் இணைக்கப்பட்டுள்ளது கவாச்.
Zscaler ThreatLabz ஆராய்ச்சியாளர் சுதீப் சிங் கூறினார் கவாச் மல்டி அதென்டிகேஷன் (எம்எஃப்ஏ) அப்ளிகேஷன்களின் பின்கதவு பதிப்புகளை விநியோகிக்க தவறான விளம்பரம் செய்யும் நோக்கத்திற்காக கூகுள் விளம்பரங்களை குழு தவறாக பயன்படுத்துகிறது என்று வியாழன் பகுப்பாய்வில்
அச்சுறுத்தல் குழுவால் குறைந்த அளவிலான நற்சான்றிதழ் அறுவடை தாக்குதல்களும் நடத்தப்பட்டுள்ளதாக சைபர் பாதுகாப்பு நிறுவனம் தெரிவித்துள்ளது. இந்திய அரசாங்கத்தின் அதிகாரப்பூர்வ இணையதளங்களாக மாறுவேடமிட்டுள்ள முரட்டு இணையதளங்கள், அறியாத பயனர்களை தங்கள் கடவுச்சொற்களை உள்ளிடும்படி தூண்டுவதற்காக அமைக்கப்பட்டன.
APT36, Operation C-Major மற்றும் Mythic Leopard ஆகிய பெயர்களால் அறியப்படும் வெளிப்படையான பழங்குடியினர், ஒரு சந்தேகத்திற்குரிய பாகிஸ்தான் விரோதக் குழுவாகும். அடையாளம் காணப்பட்ட பழங்குடிக்கு ஒரு வரலாறு உண்டு வேலைநிறுத்தம் செய்யும் இந்திய மற்றும் ஆப்கானிஸ்தான் நிறுவனங்கள்.
சமீபத்திய தாக்குதல் சங்கிலி கவாச்சில் (இந்தியில் "கவசம்" என்று பொருள்படும்) அச்சுறுத்தல் நடிகர் தனது பார்வையை வைப்பது இதுவே முதல் முறை அல்ல, இது உள்நுழைவதற்கு @gov.in மற்றும் @nic.in டொமைன்களில் மின்னஞ்சல் முகவரிகளைக் கொண்ட பயனர்கள் தேவைப்படும் செயலியாகும். அங்கீகாரத்தின் இரண்டாவது அடுக்காக மின்னஞ்சல் சேவைக்கு.
இந்த மார்ச் மாத தொடக்கத்தில், Cisco Talos ஒரு ஹேக்கிங் பிரச்சாரத்தை வெளியிட்டது, இது கவாச்சிற்கான போலி விண்டோஸ் நிறுவிகளை கிரிம்சன்ராட் மற்றும் பிற கலைப்பொருட்கள் மூலம் அரசாங்க ஊழியர்களை பாதிக்க ஒரு ஏமாற்றுவிசையாக பயன்படுத்தியது.
அவர்களின் பொதுவான தந்திரோபாயங்களில் ஒன்று, கில்செயினை செயல்படுத்த சட்டபூர்வமான அரசாங்கம், இராணுவம் மற்றும் தொடர்புடைய அமைப்புகளைப் பிரதிபலிப்பது ஆகும். மிரட்டல் நடிகர் நடத்திய சமீபத்திய பிரச்சாரமும் இதற்கு விதிவிலக்கல்ல.
"அச்சுறுத்தல் நடிகர் பல புதிய டொமைன்களை பதிவு செய்துள்ளார், இது அதிகாரப்பூர்வ கவாச் செயலி பதிவிறக்க போர்ட்டலாக மாறுவேடத்தில் வலைப்பக்கங்களை வழங்குகிறது" என்று சிங் கூறினார். "இந்தியாவில் உள்ள பயனர்களுக்கான கூகுள் தேடல் முடிவுகளில் தீங்கிழைக்கும் டொமைன்களைத் தள்ள Google விளம்பரங்களின் கட்டணத் தேடல் அம்சத்தை அவர்கள் தவறாகப் பயன்படுத்தினர்."
மே 2022 முதல், டிரான்ஸ்பரன்ட் ட்ரைப் இலவச மென்பொருள் பதிவிறக்கங்களை வழங்குவதாகக் கூறும் தாக்குபவர்-கட்டுப்படுத்தப்பட்ட அப்ளிகேஷன் ஸ்டோர்கள் மூலம் கவாச் பயன்பாட்டின் பின்கதவு பதிப்புகளை விநியோகித்ததாகவும் கூறப்படுகிறது.
இந்த இணையதளம் கூகுள் தேடல்களில் முதன்மையான முடிவாக வெளிவருகிறது, பயன்பாட்டைத் தேடும் பயனர்களை .NET-அடிப்படையிலான மோசடி நிறுவிக்கு திருப்பிவிடுவதற்கான நுழைவாயிலாக திறம்பட செயல்படுகிறது.
ஆகஸ்ட் 2022 முதல், குழுவானது, லைம்பேட் என்ற குறியீட்டுப் பெயரிடப்பட்ட முன்னர் ஆவணப்படுத்தப்படாத தரவு வெளியேற்றும் கருவியைப் பயன்படுத்துவதையும் கவனித்தது, இது பாதிக்கப்பட்ட ஹோஸ்டிலிருந்து தாக்குபவர்களின் சேவையகத்தில் ஆர்வமுள்ள கோப்புகளைப் பதிவேற்ற வடிவமைக்கப்பட்டுள்ளது.
கவாச் செயலியின் உள்நுழைவுப் பக்கத்தை ஏமாற்றி ட்ரான்ஸ்பரன்ட் ட்ரைப் பதிவுசெய்த டொமைனையும் இது அடையாளப்படுத்தியதாக Zscaler கூறியது, அது இந்திய ஐபி முகவரியில் இருந்து அணுகப்பட்டதாகக் காட்டப்படும் அல்லது பார்வையாளரை இந்தியாவின் தேசிய தகவல் மையத்தின் முகப்புப் பக்கத்திற்கு திருப்பிவிடப்பட்டது.
பக்கம், அதன் பங்கிற்கு, பாதிக்கப்பட்டவர் உள்ளிட்ட நற்சான்றிதழ்களைப் பிடிக்கவும், அரசு தொடர்பான உள்கட்டமைப்புகளுக்கு எதிராக மேலும் தாக்குதல்களை நடத்துவதற்காக தொலை சேவையகத்திற்கு அனுப்பவும் பொருத்தப்பட்டுள்ளது.
கூகுள் விளம்பரங்கள் மற்றும் லைம்பேட் ஆகியவற்றின் பயன்பாடு, அதன் தந்திரோபாயங்கள் மற்றும் மால்வேர் கருவித்தொகுப்பை மேம்படுத்துவதற்கும் செம்மைப்படுத்துவதற்கும் அச்சுறுத்தல் நடிகரின் தொடர்ச்சியான முயற்சிகளை சுட்டிக்காட்டுகிறது.
"APT-36 இந்திய அரசு நிறுவனங்களில் பணிபுரியும் பயனர்களை குறிவைப்பதில் கவனம் செலுத்தும் மிகவும் பரவலான மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் குழுக்களில் ஒன்றாகத் தொடர்கிறது" என்று சிங் கூறினார். "இந்திய அரசாங்க நிறுவனங்களில் உள்நாட்டில் பயன்படுத்தப்படும் பயன்பாடுகள், APT-36 குழுவால் பயன்படுத்தப்படும் சமூக பொறியியல் கருப்பொருளின் பிரபலமான தேர்வாகும்."