عامل تهدید دائمی پیشرفته (APT) مستقر در پاکستان که به نام Transparent Tribe شناخته میشود، از ابزار احراز هویت دو مرحلهای (2FA) استفاده میکند که توسط سازمانهای دولتی هند به عنوان یک حقه برای ارائه یک درب پشتی جدید لینوکس به نام Poseidon استفاده میشود.
Tejaswini Sandapolla، محقق امنیتی Uptycs، در گزارشی فنی که این هفته منتشر شد، گفت: «Poseidon یک بدافزار مرحله دوم است که با Transparent Tribe مرتبط است.
"این یک درب پشتی همه منظوره است که طیف وسیعی از قابلیتهای مهاجمان را برای ربودن یک میزبان آلوده فراهم میکند. قابلیتهای آن شامل ثبت ضربههای کلید، گرفتن عکس از صفحه، آپلود و دانلود فایلها، و مدیریت از راه دور سیستم به روشهای مختلف است."
Transparent Tribe همچنین با نامهای APT36، Operation C-Major، PROJECTM و Mythic Leopard ردیابی میشود و سابقه هدف قرار دادن سازمانهای دولتی هند، پرسنل نظامی، پیمانکاران دفاعی و نهادهای آموزشی را دارد.
همچنین مکرراً از نسخههای تروجانشده Kavach، نرمافزار 2FA تحت فرمان دولت هند، برای استقرار انواع بدافزارها مانند CrimsonRAT و LimePad برای جمعآوری اطلاعات ارزشمند استفاده کرده است.
یکی دیگر از کمپینهای فیشینگ که اواخر سال گذشته شناسایی شد، از ضمیمههای تسلیحاتی برای دانلود بدافزار طراحیشده برای استخراج فایلهای پایگاه داده ایجاد شده توسط اپلیکیشن Kavach استفاده کرد.
آخرین مجموعه حملات شامل استفاده از نسخه پشتی Kavach برای هدف قرار دادن کاربران لینوکس شاغل در سازمانهای دولتی هند است که نشاندهنده تلاشهای این عامل تهدید برای گسترش طیف حملات خود فراتر از اکوسیستمهای ویندوز و اندروید است.
سانداپولا توضیح داد: «زمانی که کاربر با نسخه مخرب کاواچ تعامل میکند، صفحه ورود واقعی نمایش داده میشود تا حواس او پرت شود. در همین حال، بارگیری در پسزمینه دانلود میشود و سیستم کاربر را به خطر میاندازد.»
نقطه شروع آلودگی ها یک نمونه بدافزار ELF است، یک فایل اجرایی پایتون کامپایل شده که برای بازیابی بار دوم پوزیدون از یک سرور راه دور مهندسی شده است.
این شرکت امنیت سایبری خاطرنشان کرد که برنامههای جعلی Kavach عمدتاً از طریق وبسایتهای سرکشی که به عنوان سایتهای قانونی دولتی هند پنهان شدهاند، توزیع میشوند. این شامل www.ksboard[.]in و www.rodra[.]in است.
با توجه به اینکه مهندسی اجتماعی بردار اصلی حمله مورد استفاده توسط Transparent Tribe است، به کاربرانی که در داخل دولت هند کار می کنند توصیه می شود قبل از باز کردن آدرس های اینترنتی دریافتی در ایمیل ها را دوباره بررسی کنند.
سانداپولا گفت: «عواقب این حمله APT36 میتواند قابل توجه باشد و منجر به از دست دادن اطلاعات حساس، سیستمهای در معرض خطر، خسارات مالی و آسیب به اعتبار شود».
Tejaswini Sandapolla، محقق امنیتی Uptycs، در گزارشی فنی که این هفته منتشر شد، گفت: «Poseidon یک بدافزار مرحله دوم است که با Transparent Tribe مرتبط است.
"این یک درب پشتی همه منظوره است که طیف وسیعی از قابلیتهای مهاجمان را برای ربودن یک میزبان آلوده فراهم میکند. قابلیتهای آن شامل ثبت ضربههای کلید، گرفتن عکس از صفحه، آپلود و دانلود فایلها، و مدیریت از راه دور سیستم به روشهای مختلف است."
Transparent Tribe همچنین با نامهای APT36، Operation C-Major، PROJECTM و Mythic Leopard ردیابی میشود و سابقه هدف قرار دادن سازمانهای دولتی هند، پرسنل نظامی، پیمانکاران دفاعی و نهادهای آموزشی را دارد.
همچنین مکرراً از نسخههای تروجانشده Kavach، نرمافزار 2FA تحت فرمان دولت هند، برای استقرار انواع بدافزارها مانند CrimsonRAT و LimePad برای جمعآوری اطلاعات ارزشمند استفاده کرده است.
یکی دیگر از کمپینهای فیشینگ که اواخر سال گذشته شناسایی شد، از ضمیمههای تسلیحاتی برای دانلود بدافزار طراحیشده برای استخراج فایلهای پایگاه داده ایجاد شده توسط اپلیکیشن Kavach استفاده کرد.
آخرین مجموعه حملات شامل استفاده از نسخه پشتی Kavach برای هدف قرار دادن کاربران لینوکس شاغل در سازمانهای دولتی هند است که نشاندهنده تلاشهای این عامل تهدید برای گسترش طیف حملات خود فراتر از اکوسیستمهای ویندوز و اندروید است.
سانداپولا توضیح داد: «زمانی که کاربر با نسخه مخرب کاواچ تعامل میکند، صفحه ورود واقعی نمایش داده میشود تا حواس او پرت شود. در همین حال، بارگیری در پسزمینه دانلود میشود و سیستم کاربر را به خطر میاندازد.»
نقطه شروع آلودگی ها یک نمونه بدافزار ELF است، یک فایل اجرایی پایتون کامپایل شده که برای بازیابی بار دوم پوزیدون از یک سرور راه دور مهندسی شده است.
این شرکت امنیت سایبری خاطرنشان کرد که برنامههای جعلی Kavach عمدتاً از طریق وبسایتهای سرکشی که به عنوان سایتهای قانونی دولتی هند پنهان شدهاند، توزیع میشوند. این شامل www.ksboard[.]in و www.rodra[.]in است.
با توجه به اینکه مهندسی اجتماعی بردار اصلی حمله مورد استفاده توسط Transparent Tribe است، به کاربرانی که در داخل دولت هند کار می کنند توصیه می شود قبل از باز کردن آدرس های اینترنتی دریافتی در ایمیل ها را دوباره بررسی کنند.
سانداپولا گفت: «عواقب این حمله APT36 میتواند قابل توجه باشد و منجر به از دست دادن اطلاعات حساس، سیستمهای در معرض خطر، خسارات مالی و آسیب به اعتبار شود».