Se ha observado que el actor avanzado de amenaza persistente (APT), conocido como la tribu transparente, es el objetivo de los sistemas Linux de Windows y Boss (Bharat System System Solutions) con archivos de acceso directo de escritorio malicioso en ataques dirigidos a las agencias gubernamentales indias.
«El acceso inicial se logra a través de correos electrónicos de pesca de lanza», dijo Cyfirma. «El entorno de Boss de Linux se dirige a través de archivos de acceso directo .desktop armados.
La tribu transparente, también conocida como APT36, está clasificada como orígenes paquistaníes y tiene una historia histórica de invasor de agencias gubernamentales indias con varios troyanos de acceso remoto (ratas) junto con su grupo, junto con sus copias laterales subclusas.
Las últimas plataformas duales muestran el refinamiento continuo de grupos hostiles, lo que les permite expandir su huella de orientación y garantizar el acceso a entornos comprometidos.
La cadena de ataque comienza con un correo electrónico de phishing que parece satisfacer la notificación, pero en realidad no es más que un archivo de acceso directo de escritorio de Linux atrapado en Booby («Meeting_ltr_id1543ops.pdf.desktop»). Estos archivos conducen a ejecutar scripts de shell, falsificar documentos PDF para engañar a los destinatarios y abrirlos.
El script de shell recupera archivos codificados con hexadecimas del servidor de control del atacante («Securestore (.) CV») y los guarda al disco como Binario Elf, al tiempo que actúa como un gotero para lanzar Mozilla Firefox y apertura de PDF de señuelo alojados en Google Drive. Los binarios basados en GO establecen el contacto con un servidor de comando y control (C2), Modgovindia (.) Espacio: 4000 para que esa parte reciba comandos, obtenga cargas útiles y recupere datos.
El malware también establece la persistencia utilizando trabajos cron que ejecutan automáticamente la carga útil principal después de que se termina o el proceso del sistema se finaliza.
La compañía de ciberseguridad CloudSek también informó de forma independiente, diciendo que está equipado para ejecutar el reconocimiento del sistema y realizar una serie de prevención ficticia y verificaciones anti-sandbox para abandonar el emulador y el analizador estático.
Además, un análisis de la campaña de Hunt.io reveló que el ataque fue diseñado para implementar una puerta trasera de tribu transparente conocida llamada Poseidón, que permite la recopilación de datos, el acceso a largo plazo, la cosecha de calificación y el movimiento potencialmente lateral.
«La capacidad de personalizar los mecanismos de entrega de acuerdo con el entorno operativo de las víctimas de APT36 aumenta la probabilidad de éxito al tiempo que mantiene el acceso sostenido a la infraestructura gubernamental crítica y el sorteo de controles de seguridad tradicionales», dijo Cyfirma.
La divulgación se produce semanas después de que los actores tribales transparentes se dirigieron a las organizaciones de defensa india y a las agencias gubernamentales asociadas que usan un dominio falsificado, con el objetivo final de robar calificaciones y códigos de autenticación de dos factores (2FA). Se cree que los usuarios serán redirigidos a estas URL a través de correos electrónicos de phishing.
«Si ingresa una ID de correo electrónico válida en la primera página de phishing y hace clic en el botón ‘Siguiente’, la víctima se redirigirá a la segunda página, lo que le pedirá al usuario que ingrese la contraseña de la cuenta de correo electrónico y el código de autenticación de Kavach», dijo Cyfirma.
Vale la pena señalar que la orientación de Kavach, una solución de 2FA utilizada por las agencias gubernamentales indias para mejorar la seguridad de las cuentas, es una táctica de prueba y error adoptada por tribus transparentes y copias laterales desde principios de 2022.
«El uso de dominios tipográficos junto con la infraestructura alojada en los servidores con sede en Pakistán es consistente con las tácticas, técnicas y procedimientos establecidos del grupo», dijo la compañía.
Los hallazgos también siguen el descubrimiento de otra campaña realizada por los asiáticos del sur para atacar los correos electrónicos de Bangladesh, Nepal, Pakistán, Sri Lanka y Turquía a través de correos electrónicos de phishing spear diseñados para calificaciones como calificaciones utilizando páginas de aspecto alojadas en Netlify y páginas.dev.
«Estas campañas imitan las comunicaciones formales que permiten a las víctimas engañarlas para que ingresen a sus credenciales en páginas de inicio de sesión falsas», dijo Hunt.io a principios de este mes que se atribuyó a un grupo de piratería llamado Sidewinder.
«La gimbra falsificada y la página de portal segura parecían un servicio oficial de correo electrónico, intercambio de archivos o carga de documentos, instando a las víctimas a enviar sus credenciales a través de un panel de inicio de sesión falso».
Source link
