Η ομάδα Transparent Tribe, ένας προηγμένος απειλητικός παράγοντας (APT) με έδρα το Πακιστάν, εξαπάτησε τις ινδικές κυβερνητικές υπηρεσίες χρησιμοποιώντας ένα εργαλείο ελέγχου ταυτοποιήσης δύο παραγόντων (2FA) για να διανείμει το νεότερο backdoor για Linux, το Poseidon.
“Το Poseidon είναι ένα κακόβουλο λογισμικό δεύτερου σταδίου payload που σχετίζεται με την Transparent Tribe”, δήλωσε ο ερευνητής ασφαλείας της Uptycs, Tejaswini Sandapolla, σε μια τεχνική έκθεση που δημοσιεύθηκε αυτήν την εβδομάδα.
“Είναι ένα backdoor γενικής χρήσης που παρέχει στους επιτιθέμενους ένα ευρύ φάσμα δυνατοτήτων για να παραβιάσουν έναν μολυσμένο host. Οι λειτουργίες του περιλαμβάνουν καταγραφή πατημάτων πλήκτρων, λήψη φωτογραφιών οθόνης, αποστολή και λήψη αρχείων και απομακρυσμένη διαχείριση του συστήματος με διάφορους τρόπους.”
Η Transparent Tribe, επίσης γνωστή ως APT36, Operation C-Major, PROJECTM και Mythic Leopard, έχει μακρύ ιστορικό κακόβουλων δραστηριοτήτων με στόχο ινδικούς κυβερνητικούς οργανισμούς, στρατιωτικό προσωπικό, αμυντικούς εργολάβους και εκπαιδευτικά ιδρύματα.
Αυτό το κακόβουλο δίκτυο ηλεκτρονικού εγκλήματος είναι γνωστό ότι χρησιμοποιεί εκδόσεις του Kavach, του λογισμικού ασφαλείας 2FA της Ινδίας, οι οποίες έχουν αλλοιωθεί και μολυνθεί. Το χρησιμοποιούν ως μέσο για την ανάπτυξη κακόβουλου λογισμικού, συμπεριλαμβανομένων των CrimsonRAT και LimePad, προκειμένου να αποκτήσουν πρόσβαση σε πολύτιμες πληροφορίες.
Στα τέλη του περασμένου έτους, οι εγκληματίες του κυβερνοχώρου κατάφεραν να εξαπολύσουν μια επίθεση phishing που χρησιμοποιούσε κακόβουλα συνημμένα αρχεία προκειμένου να εγκαταστήσει κακόβουλο λογισμικό με σκοπό την κλοπή αρχείων βάσης δεδομένων που δημιουργούσε η εφαρμογή Kavach.
Το τελευταίο κύμα επιθέσεων αφορά μια μολυσμένη έκδοση του Kavach, η οποία χρησιμοποιείται για να στοχεύσει χρήστες Linux σε κυβερνητικούς οργανισμούς της Ινδίας. Αυτό καταδεικνύει τις προσπάθειες των κακόβουλων φορέων να επεκτείνουν την επίθεσή τους πέρα από τα συστήματα Windows και Android.
“Όταν ένας χρήστης αλληλεπιδρά με την κακόβουλη έκδοση του Kavach, εμφανίζεται η γνήσια σελίδα σύνδεσης για να αποσπάσει την προσοχή του”, εξήγησε η Sandapolla. “Εν τω μεταξύ, το ωφέλιμο φορτίο γίνεται λήψη στο παρασκήνιο, θέτοντας σε κίνδυνο το σύστημα του χρήστη.”
Η προέλευση της μόλυνσης εντοπίζεται σε ένα δείγμα κακόβουλου λογισμικού ELF, ένα μεταγλωττισμένο πρόγραμμα Python σχεδιασμένο να κατεβάζει και να λαμβάνει το δευτερεύον ωφέλιμο φορτίο του Poseidon από έναν μακρινό server.
Η εταιρεία κυβερνοασφάλειας εντόπισε ότι αυτές οι ψεύτικες εφαρμογές Kavach κυκλοφορούν κυρίως μέσω κακόβουλων ιστότοπων που παριστάνουν τους νόμιμους ιστότοπους της ινδικής κυβέρνησης, συμπεριλαμβανομένων των www.ksboard[.]in και www.rodra[.]in.
Για την προστασία από το κύριο εργαλείο επίθεσης της Transparent Tribe – το social engineering – οι χρήστες που εργάζονται στην ινδική κυβέρνηση θα πρέπει να επαληθεύουν προσεκτικά τις διευθύνσεις URL που λαμβάνουν σε μηνύματα ηλεκτρονικού ταχυδρομείου πριν τις ανοίξουν.
“Οι επιπτώσεις αυτής της επίθεσης APT36 θα μπορούσαν να είναι σημαντικές, οδηγώντας σε απώλεια ευαίσθητων πληροφοριών, σε κίνδυνο συστημάτων, οικονομικές απώλειες και ζημιά στη φήμη”, δήλωσε ο Sandapolla.
Πηγή πληροφοριών: thehackernews.com
