Фальшивые файлы встреч используются в кибершпионской кампании против Индии

Хакеры APT36 из Пакистана были обнаружены при использовании вооруженных ярлыков, фишинга, вредоносного ПО и кражи 2FA для атак на системы BOSS Linux в Индии.

Пакистанская хакерская группа APT36, также известная как Transparent Tribe, начала новую операцию кибершпионажа против систем правительства Индии, согласно исследованию CYFIRMA.

Группа создала вредоносное ПО, предназначенное для операционной системы BOSS Linux, используемой в Индии, что демонстрирует их растущую способность адаптироваться к различным условиям.

Атака начинается с фишинговых электронных писем, содержащих файл с названием «Meeting_Notice_Ltr_ID1543ops.pdf_.zip». После открытия он раскрывает поддельный файл-ярлык под названием «Meeting_Ltr_ID1543ops.pdf.desktop». Несмотря на то, что он выглядит как безобидный PDF-файл, этот файл запрограммирован на тайное скачивание вредоносного программного обеспечения.

«Показанный файл ‘.desktop’ создан таким образом, чтобы выдавать себя за обычное PDF-ярлык, но содержит в своей строке Exec= ряд команд, которые автоматически и последовательно выполняются, как только файл запускается. Это позволяет злоумышленнику осуществлять скрытые действия, не вызывая подозрений у жертвы», — объяснили исследователи.

Вредоносное ПО использует обманные методы, чтобы оставаться незамеченным, открывая настоящий PDF-файл в Firefox, что заставляет пользователей думать, что ничего подозрительного не произошло.

Скрытая программа работает в скрытом режиме, крадет данные и настраивает самозапуск каждый раз при включении компьютера.

Вредоносные файлы, обнаруженные CYFIRMA, подключаются к двум недавно зарегистрированным доменам «securestore[.]cv» и «modgovindia[.]space», которые служат серверами управления и контроля для злоумышленников. Через эти серверы хакеры могут передавать команды и получать украденные данные, сохраняя при этом доступ к государственным сетям.

CYFIRMA заявляет, что APT36 функционирует как государственно спонсируемая группа, которая активна более десяти лет, нацеливаясь в основном на индийские государственные учреждения, военные и дипломатические организации.

Hacker News сообщает, что эта кампания демонстрирует растущую изощренность APT36. Помимо нацеливания на Linux BOSS, группа также разработала вредоносное ПО для Windows в рамках той же кампании, демонстрируя двухплатформенный подход.

Злонамеренный код выполняет разведку системы, в то время как осуществляет фальшивые проверки против отладки и против песочницы, чтобы избежать обнаружения, по данным CloudSEK. Атаки привели к развертыванию бэкдора Transparent Tribe под названием Poseidon, который позволяет злоумышленникам красть учетные данные, проводить долгосрочное наблюдение, а также осуществлять латеральное перемещение по сети внутри государственных сетей, как сообщили исследователи из Hunt.io.

Hacker News отмечает, что эта активность началась вскоре после того, как Transparent Tribe был замечен в целевых атаках на индийские оборонные организации через поддельные порталы для входа в систему, предназначенные для кражи учетных данных, и даже Kavach — систему двухфакторной аутентификации (2FA) правительства Индии.

Жертвы, вводящие свои адреса электронной почты и коды Kavach на фишинговых сайтах, незаметно передают данные для входа прямо злоумышленникам.

CYFIRMA отметила: «Способность APT36 настраивать свои механизмы доставки в соответствии с операционной средой жертвы тем самым увеличивает его шансы на успех, сохраняя постоянный доступ к критически важной государственной инфраструктуре и обходя традиционные системы безопасности.

CYFIRMA предупреждает, что «анализ указывает на координированную кибершпионскую кампанию, которую можно отнести к APT36, использующую вооруженные .desktop файлы для атаки на среду BOSS Linux в структурах индийского правительства.»