ΑρχικήsecurityΗ ομάδα hacking Mythic Leopard επιτίθεται στην ινδική κυβέρνηση

Η ομάδα hacking Mythic Leopard επιτίθεται στην ινδική κυβέρνηση

Ανακαλύφθηκε μια νέα καμπάνια από την ομάδα hacking που παρακολουθείται ως APT36, γνωστή και ως «Transparent Tribe» ή «Mythic Leopard». Η ομάδα χρησιμοποιεί ένα νέο προσαρμοσμένο malware και πραγματοποιεί επιθέσεις κατά της ινδικής κυβέρνησης.

Δείτε επίσης: Η Microsoft θα αποκλείει ευάλωτους drivers στα Windows 10, Windows 11

Ο συγκεκριμένος απειλητικός παράγοντας που έχει ως έδρα του το Πακιστάν δραστηριοποιείται τουλάχιστον από το 2016 και οι στόχοι του είναι σχεδόν αποκλειστικά ινδικές αμυντικές και κυβερνητικές οντότητες.

Ο στόχος της ομάδας είναι να συλλέξει πληροφορίες μέσω της κυβερνοκατασκοπείας, επομένως η ομάδα APT36 θεωρείται ότι είναι ένας απειλητικός παράγοντας κρατικά επιχορηγούμενος από το Πακιστάν.

Οι ερευνητές της Cisco Talos δημοσίευσαν σήμερα μια έκθεση που περιγράφει λεπτομερώς τα πρόσφατα ευρήματά τους σχετικά με τη δραστηριότητα της ομάδας APT36 και υπογραμμίζουν μερικές ενδιαφέρουσες νέες αλλαγές στις τακτικές του απειλητικού παράγοντα.

Νέος φορέας μόλυνσης

Η πιο ενδιαφέρουσα πτυχή της νέας καμπάνιας είναι η χρήση εφαρμογών ελέγχου ταυτότητας Kavach που στοχεύουν υπαλλήλους της ινδικής κυβέρνησης.

Το Kavach Authentication είναι μια εφαρμογή OTP που έχει συνταχθεί από το Εθνικό Κέντρο Πληροφορικής της Ινδίας για ασφαλή έλεγχο ταυτότητας πολλαπλών παραγόντων σε κρίσιμα συστήματα πληροφορικής.

Mythic Leopar

Η εφαρμογή χρησιμοποιείται εκτενώς από στρατιωτικό προσωπικό ή υπαλλήλους της ινδικής κυβέρνησης που πρέπει να έχουν πρόσβαση σε πόρους πληροφορικής όπως υπηρεσίες email ή βάσεις δεδομένων.

Δείτε επίσης: Η Europol εξαρθρώνει μαζική επιχείρηση επενδυτικής απάτης

Η διανομή των ψεύτικων Kavach installers γίνεται μέσω ψεύτικων ιστοσελίδων που είναι κλώνοι νόμιμων site ινδικών κυβερνήσεων, όπως αυτός του Ινστιτούτου Αξιωματικών Υπηρεσιών Άμυνας.

Mythic Leopar

Τα θύματα λαμβάνουν ένα αντίγραφο ενός νόμιμου προγράμματος εγκατάστασης Kavach και ένα κακόβουλο payload που ξεκινά αυτόματα τη διαδικασία μόλυνσης με το κακόβουλο λογισμικό που θα έχει επιλέξει ο απειλητικός παράγοντας.

Τόσο οι κλωνοποιημένοι ιστότοποι όσο και η χρήση malware που μεταμφιέζεται ως νόμιμες και γνωστές εφαρμογές είναι συνήθεις και προηγουμένως παρατηρηθείσες τακτικές της ομάδας APT36.

Νέο προσαρμοσμένο malware

Ο απειλητικός παράγοντας εξακολουθεί να χρησιμοποιεί το CrimsonRAT, το οποίο εντοπίστηκε για πρώτη φορά σε καμπάνιες του 2020, αλλά το κακόβουλο λογισμικό έχει εξελιχθεί για να προσφέρει περισσότερες δυνατότητες στους χειριστές του.

Το CrimsonRAT είναι το κύριο εργαλείο της APT36, το οποίο μπορεί να κλέψει credentials από το πρόγραμμα περιήγησης, να παραθέσει τις τρέχουσες διαδικασίες, να ανακτήσει πρόσθετα payloads από το C2 και να τραβήξει screenshots.

Δείτε επίσης: Το Mars Stealer malware διανέμεται μέσω διαφημίσεων του OpenOffice στη Google

Στην έκδοσή του 2022, το CrimsonRAT χρησιμοποιεί και ένα keylogger, υποστηρίζει την εκτέλεση αυθαίρετων εντολών στο παραβιασμένο σύστημα, μπορεί να διαβάζει τα περιεχόμενα των αρχείων, να διαγράφει αρχεία και πολλά άλλα.

Mythic Leopard

Ένα άλλο εργαλείο που χρησιμοποιείται στις πρόσφατες καμπάνιες είναι ένας ελαφρύ trojan remote access .NET που είναι πιο basic σε σύγκριση με το CrimsonRAT αλλά εξακολουθεί να προσφέρει ισχυρές λειτουργίες.

Η ομάδα APT36 πιθανότατα χρησιμοποιεί αυτό το δεύτερο εμφύτευμα για πλεονασμό, ενώ μπορεί να είναι απλώς η πρώιμη έκδοση ανάπτυξης ενός νέου προσαρμοσμένου RAT που θα βελτιωθεί με περισσότερες δυνατότητες στο μέλλον.

Το 2021, η ομάδα APT36 χρησιμοποίησε και το ObliqueRAT σε επιθέσεις πολύ περιορισμένης στόχευσης εναντίον κυβερνητικού προσωπικού.

Η ομάδα «Mythic Leopard» εξακολουθεί να εξελίσσεται και παραμένει ιδιαίτερα ενεργή, βελτιώνοντας τα εμφυτεύματα του και ανανεώνοντας τακτικά τους φορείς μόλυνσης για να παραμένει μη ανιχνεύσιμη.

Περίληψη συμπερασμάτων

Η Mythic Leopard είναι μια πολύ δραστήρια ομάδα APT στην Ινδική υποήπειρο. Πρωταρχικοί στόχοι τους ήταν το κυβερνητικό και στρατιωτικό προσωπικό στο Αφγανιστάν και την Ινδία. Αυτή η εκστρατεία προωθεί αυτή τη στόχευση και τον κεντρικό στόχο της για τη δημιουργία μακροπρόθεσμης πρόσβασης για την κατασκοπεία. Η χρήση πολλαπλών τύπων οχημάτων παράδοσης και μορφών αρχείων υποδεικνύει ότι η ομάδα προσπαθεί επιθετικά να μολύνει τους στόχους της με τα εμφυτεύματα τους, όπως το CrimsonRAT. Συνέχισαν τη χρήση ψεύτικων domain που μεταμφιέζονται σε κυβερνητικές και οιονεί κυβερνητικές οντότητες, καθώς και τη χρήση content-hosting domain για τη φιλοξενία malware. Αν και δεν είναι πολύ περίπλοκο, πρόκειται για έναν εξαιρετικά παρακινημένο και επίμονο αντίπαλο που εξελίσσει συνεχώς τακτικές για να μολύνει τους στόχους του.

Οι οργανισμοί θα πρέπει να παραμείνουν σε επαγρύπνηση έναντι τέτοιων απειλών, καθώς είναι πιθανό να πολλαπλασιαστούν στο μέλλον. Οι εις βάθος στρατηγικές άμυνας που βασίζονται σε μια προσέγγιση ανάλυσης κινδύνου μπορούν να προσφέρουν καλύτερα αποτελέσματα στην πρόληψη. Ωστόσο, αυτό θα πρέπει πάντα να συμπληρώνεται από ένα καλό σχέδιο απόκρισης συμβάντων, το οποίο θα αναθεωρείται και θα βελτιώνεται κάθε φορά που δοκιμάζεται σε πραγματικές δεσμεύσεις.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS