Fałszywe Pliki Spotkań Wykorzystane w Kampanii Cyber Szpiegowskiej Przeciwko Indiom

Hakerzy z grupy APT36 z Pakistanu zostali przyłapani na używaniu zainfekowanych skrótów, phishingu, malware’u oraz kradzieży 2FA do atakowania systemów BOSS Linux w Indiach.

Pakistańska grupa hakerów APT36, znana również jako Transparent Tribe, rozpoczęła nową operację cyberwywiadowczą przeciwko systemom rządu indyjskiego, zgodnie z badaniami przeprowadzonymi przez CYFIRMA.

Grupa stworzyła złośliwe oprogramowanie przeznaczone dla indyjskiego systemu operacyjnego BOSS Linux, co pokazuje ich rosnącą zdolność do adaptacji do różnych środowisk.

Atak zaczyna się od wiadomości e-mail typu spear phishing zawierających plik o nazwie „Meeting_Notice_Ltr_ID1543ops.pdf_.zip”. Po otwarciu ujawnia on fałszywy plik skrótu o nazwie „Meeting_Ltr_ID1543ops.pdf.desktop”. Chociaż wygląda jak nieszkodliwy PDF, plik jest zaprogramowany do tajnego pobierania złośliwego oprogramowania.

„Plik ‚.desktop’, który jest pokazywany, został stworzony tak, aby udawał zwykły skrót PDF, ale zawiera łańcuch poleceń osadzonych w swojej linii Exec=, które są wykonywane automatycznie i sekwencyjnie, jak tylko plik zostanie uruchomiony. Umożliwia to atakującemu wykonywanie ukrytych działań, nie zdradzając swojej obecności ofierze” – wyjaśnili badacze.

Malware wykorzystuje metody zwodnicze, aby pozostać niewykryty, otwierając prawdziwy PDF w Firefoxie, co sprawia, że użytkownicy wierzą, że nic podejrzanego się nie wydarzyło.

Ukryty program działa w trybie stealth, kradnąc dane, i ustawia się na ponowne uruchomienie za każdym razem, gdy komputer jest włączany.

Szkodliwe pliki odkryte przez CYFIRMA łączą się z dwoma nowo zarejestrowanymi domenami „securestore[.]cv” i „modgovindia[.]space”, które służą jako serwery do kontroli i zarządzania dla atakujących. Poprzez te serwery hakerzy mogą przesyłać polecenia i uzyskiwać skradzione dane, jednocześnie utrzymując dostęp do sieci rządowych.

CYFIRMA mówi, że APT36 działa jako grupa sponsorowana przez państwo, która jest aktywna od ponad dziesięciu lat, głównie atakując indyjskie instytucje rządowe, wojskowe oraz organizacje dyplomatyczne.

Hacker News informuje, że ta kampania pokazuje rosnącą dojrzałość APT36. Oprócz atakowania Linux BOSS, grupa ta opracowała również złośliwe oprogramowanie dla Windows w ramach tej samej kampanii, co pokazuje podejście dwuplatformowe.

Złośliwy kod wykonuje rozpoznanie systemu, jednocześnie uruchamiając fałszywe kontrole anty-debugowania i anty-sandbox, aby uniknąć wykrycia – informuje CloudSEK. Ataki doprowadziły do wdrożenia tylnych drzwi Transparent Tribe o nazwie Poseidon, które pozwalają atakującym na kradzież danych uwierzytelniających, przeprowadzanie długoterminowego nadzoru, a także ruchu bocznego w sieci wewnątrz sieci rządowych – jak informują badacze z Hunt.io.

Hacker News zauważa, że działalność ta nastąpiła krótko po tym, jak Transparent Tribe został przyłapany na atakowanie indyjskich organizacji obronnych za pomocą sfałszowanych portali logowania zaprojektowanych do kradzieży danych uwierzytelniających, a nawet Kavach, czyli systemu dwuskładnikowego uwierzytelniania (2FA) indyjskiego rządu.

Ofiary, wpisując swoje adresy e-mail i kody Kavach na stronach phishingowych, nieświadomie przekazywały dane logowania bezpośrednio atakującym.

CYFIRMA zauważyła: „Zdolność APT36 do dostosowywania swoich mechanizmów dostarczania zgodnie z otoczeniem operacyjnym ofiary zwiększa szanse na sukces, jednocześnie utrzymując stały dostęp do kluczowej infrastruktury rządowej i omijając tradycyjne kontrole bezpieczeństwa.

CYFIRMA ostrzegała, że „analiza wskazuje na skoordynowaną kampanię cyber szpiegowską przypisywaną APT36, wykorzystującą zbrojne pliki .desktop do atakowania środowisk BOSS Linux w strukturach rządu indyjskiego”.