Akter napredne persistentne pretnje (APT) sa sjedištem u Pakistanu, poznat kao Transparent Tribe, koristio je alat za provjeru autentičnosti s dva faktora (2FA) koji su koristile indijske vladine agencije kao lukavstvo za isporuku novog Linux backdoor-a nazvanog Poseidon.
“Poseidon je maliciozni softver druge faze povezan s Transparent Tribe-om” rekao je istraživač sigurnosti Uptycs-a Tejaswini Sandapolla u tehničkom izvještaju objavljenom ove sedmice.
“To je backdoor opšte namjene koji napadačima pruža širok spektar mogućnosti da otmu zaraženi host. Njegove funkcionalnosti uključuju evidentiranje pritisaka na tipke, snimanje ekrana, učitavanje i preuzimanje datoteka i daljinsko upravljanje sistemom na različite načine.”
Transparent Tribe se takođe prati kao APT36, Operation C-Major, PROJECTM i Mythic Leopard, i ima evidenciju o gađanju indijskih vladinih organizacija, vojnog osoblja, odbrambenih izvođača i obrazovnih subjekata.
Takođe je u više navrata koristio trojanizovane verzije Kavacha, 2FA softvera koji je odobrila indijska vlada, kako bi implementovao razne maliciozne programe kao što su CrimsonRAT i LimePad za prikupljanje vrijednih informacija.
Još jedna phishing kampanja otkrivena krajem prošle godine iskoristila je prednost naoružanih priloga za preuzimanje malicioznog softvera dizajniranog za eksfiltrovanje datoteka baze podataka koje je kreirala aplikacija Kavach.
Najnoviji skup napada uključuje korištenje backdoor verzije Kavacha za ciljanje korisnika Linux-a koji rade za indijske vladine agencije, što ukazuje na pokušaje hakera da proširi svoj spektar napada izvan Windows i Android ekosistema.
“Kada korisnik stupi u interakciju sa malicioznom verzijom Kavach-a, prikazuje se originalna stranica za prijavu kako bi mu se skrenula pažnju” objasnio je Sandapolla. “U međuvremenu, payload se preuzima u pozadini, kompromitujući sistem korisnika.”
Polazna tačka zaraze je ELF uzorak malicioznog softvera, kompajlirana Python izvršna datoteka koja je dizajnirana da preuzme drugi stadijum Poseidon payload-a sa udaljenog servera.
Firma za kibernetičku bezbjednost je istakla da se lažne Kavach aplikacije prvenstveno distribuišu preko lažnih web stranica koje su prerušene u legitimne web stranice indijske vlade. Ovo uključuje www.ksboard[.]in i www.rodra[.]in.
Budući da je društveni inženjering primarni vektor napada koji koristi Transparent Tribe, korisnicima koji rade u indijskoj vladi savjetuje se da još jednom provjere URL-ove primljene u email-ovima prije nego što ih otvore.
“Reperkusije ovog APT36 napada mogu biti značajne, što može dovesti do gubitka osjetljivih informacija, kompromitovanih sistema, finansijskih gubitaka i oštećenja reputacije” rekao je Sandapolla.
Izvor: The Hacker News