El actor reformista de amenaza persistente (apt) conocido como Tribu transparente Se ha observado que se dirige tanto a los sistemas Linux de Windows y Boss (Bharat Operating System Solutions) con archivos de entrada directo de escritorio astuto en ataques dirigidos a entidades gubernamentales indias.
“El entrada auténtico se logra a través de correos electrónicos de phishing de bichero”, dijo Cyfirma. “Los entornos de Boss de Linux se dirigen a través de archivos de entrada directo .desktop armados que, una vez que se abren, descargan y ejecutan cargas efectos maliciosas”.
La tribu transparente, igualmente emplazamiento APT36, se evalúa como de origen paquistaní, con el colección, contiguo con su secuestro secundario de subgrupos, que tiene una historia histórica de irrumpir en instituciones gubernamentales indias con una variedad de troyanos de entrada remoto (ratas).
La última plataforma dual demuestra la sofisticación continua del colectivo adversario, lo que le permite ampliar su huella de orientación y asegurar el entrada a entornos comprometidos.
Las cadenas de ataque comienzan con los correos electrónicos de phishing con supuestos avisos de reuniones, que, en efectividad, no son más que archivos de entrada directo de escritorio Linux atrapados en Booby (“Meeting_ltr_id1543ops.pdf.desktop”). Estos archivos se disfrazan de documentos PDF para engañar a los destinatarios para que los abran, lo que lleva a la ejecución de un script de shell.
El script de shell sirve como un cuentagotas para obtener un archivo codificado hexadecimal de un servidor controlado por el atacante (“Securestore (.) CV”) y guardarlo en disco como un binario ELF, al tiempo que abre simultáneamente un PDF Decoy alojado en Google Drive al divulgar Mozilla Firefox. El binario basado en GO, por su parte, establece el contacto con un servidor de comando y control (C2) codificado, espacio Modgovindia (.): 4000, para cobrar comandos, obtener cargas efectos y exfiltrados datos.
El malware igualmente establece la persistencia por medio de un trabajo cron que ejecuta la carga útil principal automáticamente luego de un reinicio del sistema o terminación del proceso.
La compañía de ciberseguridad Cloudsek, que igualmente informó de forma independiente la actividad, dijo que el malware realiza un inspección del sistema y está equipado para padecer a final una serie de controles ficticios anti-ficha y anti-sandbox en una ofrecimiento para desechar emuladores y analizadores estáticos.
Encima, el investigación de Hunt.io de la campaña ha revelado que los ataques están diseñados para implementar una puerta trasera transparente conocida emplazamiento Poseidon que permite la compendio de datos, el entrada a liberal plazo, la monasterio de credenciales y el movimiento potencialmente colateral.
“La capacidad de APT36 para personalizar sus mecanismos de entrega de acuerdo con el entorno operante de la víctima aumenta así sus posibilidades de éxito mientras se mantiene el entrada persistente a la infraestructura oficial crítica y evade los controles de seguridad tradicionales”, dijo Cyfirma.
La divulgación se produce semanas luego de que se observó a los actores de la tribu transparente dirigidos a organizaciones de defensa india y entidades gubernamentales relacionadas que utilizan dominios falsificados con el objetivo final de robar credenciales y códigos de autenticación de dos factores (2FA). Se cree que los usuarios son redirigidos a estas URL a través de correos electrónicos de phishing.
“Al ingresar una ID de correo electrónico válida en la página de phishing auténtico y hacer clic en el timbre ‘Próximo’, la víctima se redirige a una segunda página que solicita al heredero que ingrese la contraseña de su cuenta de correo electrónico y el código de autenticación de Kavach”, dijo Cyfirma.
Vale la pena señalar que la orientación de Kavach, una opción de 2FA utilizada por las agencias gubernamentales indias para mejorar la seguridad de las cuentas, es una táctica probada adoptada por la tribu transparente y la discapacidad secundaria desde principios de 2022.
“El uso de dominios tipográficos combinados con infraestructura alojada en servidores con sede en Pakistán es consistente con las tácticas, técnicas y procedimientos establecidos del colección”, dijo la compañía.
Los hallazgos igualmente siguen el descubrimiento de una campaña separada realizada por un apto del sur de Asia para atacar a Bangladesh, Nepal, Pakistán, Sri Lanka y Turquía a través de correos electrónicos de phishing de bichero diseñados para robos de credenciales utilizando páginas miradas alojadas en Netlify y Pages.dev.
“Estas campañas imitan la comunicación oficial para engañar a las víctimas para que ingresen credenciales en páginas de inicio de sesión falsas”, dijo Hunt.io a principios de este mes, atribuyéndolo a un colección de piratería llamado Sidewinder.
“Las páginas de Zimbra y las páginas de portal seguras se hicieron para parecerse al correo electrónico oficial del gobierno, compartir archivos o servicios de carga de documentos, lo que llevó a las víctimas a remitir credenciales a través de paneles de inicio de sesión falsos”.
