De geavanceerde permanente dreiging (APT) acteur bekend als Transparante stam is waargenomen gericht op zowel Windows als Boss (Bharat Oplossing System Solutions) Linux -systemen met kwaadaardige bureaublad -sneltoetsen in aanvallen gericht op Indiase overheidsentiteiten.
“De eerste toegang wordt bereikt door speer-phishing-e-mails,” zei Cyfirma. “Linux Boss -omgevingen zijn het doelwit via bewapende .Desktop -snelkoppelingsbestanden die, eenmaal geopend, downloaden en uitvoeren van kwaadaardige ladingen.”
Transparante stam, ook wel APT36 genoemd, wordt beoordeeld als van Pakistaanse oorsprong, waarbij de groep-samen met haar subcluster Sidecopy-een legendarische geschiedenis van het inbreken in Indiase overheidsinstellingen met een verscheidenheid aan Trojans op afstand (ratten) (ratten) doorbreken.
De nieuwste dubbele platform demonstreert de voortdurende verfijning van het tegenstanders, waardoor het zijn targeting-voetafdruk kan verbreden en toegang tot gecompromitteerde omgevingen kan garanderen.
De aanvalsketens beginnen met phishing-e-mails met veronderstelde kennisgevingen, die in werkelijkheid niets anders zijn dan booby-gevangen Linux Desktop-snelkoppelingsbestanden (“Meeting_LTR_ID1543OPS.PDF.desktop”). Deze bestanden maken zich aan als PDF -documenten om ontvangers te misleiden om ze te openen, wat leidt tot de uitvoering van een shell -script.
Het shell-script dient als een druppelaar om een hex-gecodeerd bestand op te halen van een aanvaller-gecontroleerde server (“Securestore (.) CV”) en het opslaan op schijf als een elf binair, terwijl tegelijkertijd een Decoy PDF op Google Drive wordt georganiseerd door Mozilla Firefox te lanceren. Het op GO gebaseerde binaire binair, van zijn kant, legt contact op met een hardgecodeerde command-and-control (C2) -server, Modgovindia (.) Ruimte: 4000, om commando’s te ontvangen, payloads en exfiltraatgegevens te ontvangen.
De malware stelt ook persistentie vast door middel van een Cron -taak die de belangrijkste payload automatisch uitvoert na een systeem opnieuw opstarten of procesbeëindiging.
Cybersecurity Company Cloudsek, dat ook onafhankelijk de activiteit rapporteerde, zei dat de malware systeemverkenning uitvoert en is uitgerust om een reeks dummy anti-debugging en anti-zandboxcontroles uit te voeren in een poging om emulatoren en statische analysers af te werpen.
Bovendien heeft Hunt.io’s analyse van de campagne aangetoond dat de aanvallen zijn ontworpen om een bekende transparante stam-achterdoor te implementeren genaamd Poseidon die gegevensverzameling, langetermijntoegang, inloggegevens en mogelijk laterale beweging mogelijk maakt.
“Het vermogen van APT36 om zijn leveringsmechanismen aan te passen volgens de operationele omgeving van het slachtoffer, verhoogt daarmee zijn kansen op succes met behoud van aanhoudende toegang tot kritieke overheidsinfrastructuur en het ontwijken van traditionele veiligheidscontroles,” zei Cyfirma.
De openbaarmaking komt weken nadat de transparante stamacteurs werden waargenomen gericht op Indiase defensieorganisaties en aanverwante overheidsentiteiten die spoofed domeinen gebruikten met het uiteindelijke doel van het stelen van referenties en tweefactorauthenticatie (2FA) -codes. Er wordt aangenomen dat gebruikers worden doorgestuurd naar deze URL’s via speer-phishing-e-mails.
“Bij het invoeren van een geldige e -mail -ID in de eerste phishing -pagina en op de knop ‘Volgende’ klikken, wordt het slachtoffer doorgestuurd naar een tweede pagina die de gebruiker ertoe aanzet om zijn e -mailaccountwachtwoord en de Kavach -authenticatiecode in te voeren,” zei Cyfirma.
Het is vermeldenswaard dat het richten van Kavach, een 2FA-oplossing die door de Indiase overheidsinstanties wordt gebruikt om de accountbeveiliging te verbeteren, een beproefde tactiek is die sinds begin 2022 wordt aangenomen door transparante stam en sidecopy.
“Het gebruik van typefijn-geëxoteerde domeinen in combinatie met infrastructuur georganiseerd op in Pakistan gevestigde servers is consistent met de gevestigde tactieken, technieken en procedures van de groep,” zei het bedrijf.
De bevindingen volgen ook de ontdekking van een afzonderlijke campagne die door een Zuid-Aziatische APT wordt uitgevoerd om Bangladesh, Nepal, Pakistan, Sri Lanka en Turkije te slaan via speer-phishing-e-mails die zijn ontworpen voor diefstal van referentie met behulp van lookalike pagina’s gehost op NetLify en Pages.Dev.
“Deze campagnes nabootsen van officiële communicatie om slachtoffers te misleiden om inloggegevens op nep -inlogpagina’s in te voeren,” zei Hunt.io eerder deze maand, het toeschrijven aan een hackgroep genaamd Sidewinder.
“Spoofed Zimbra en beveiligde portalpagina’s zijn gemaakt om eruit te zien als officiële e-mail, bestandsuitwisseling of uploaddiensten voor het documenteren, waardoor slachtoffers inloggegevens moeten worden ingediend via nep-inlogpanelen.”
