O ator avançado de ameaças persistentes (APT) conhecido como Transparent Tribe tem sido observado visando sistemas Windows e BOSS (Bharat Operating System Solutions) Linux por meio de arquivos maliciosos de atalho Desktop em ataques direcionados a entidades governamentais indianas.
“O acesso inicial é obtido por meio de spear-phishing emails”, afirmou a CYFIRMA.
“Ambientes Linux BOSS são alvos de arquivos .desktop shortcut weaponized que, uma vez abertos, baixam e executam payloads maliciosos.”
O Transparent Tribe, também chamado de APT36, é avaliado como de origem paquistanesa, tendo o grupo – junto com seu sub-grupo SideCopy – um histórico consolidado de invasões a instituições governamentais indianas com diversos trojans de acesso remoto (RATs).
A última campanha em plataformas duplas demonstra a sofisticação contínua do coletivo adversário, permitindo expandir seu alcance de alvos e garantir acesso a ambientes comprometidos.
As cadeias de ataque começam com phishing emails contendo supostos avisos de reuniões, que na verdade são arquivos de atalho Desktop do Linux armadilhados ("Meeting_Ltr_ID1543ops.pdf.desktop").
Esses arquivos se disfarçam como documentos PDF para enganar os destinatários a abrirem, levando à execução de um shell script.
O shell script funciona como dropper para buscar um arquivo codificado em hexadecimal de um servidor controlado pelo atacante ("securestore[.]cv") e salvá-lo no disco como um binário ELF, ao mesmo tempo em que abre um PDF falso hospedado no Google Drive por meio do Mozilla Firefox.
O binário escrito em Go, por sua vez, estabelece contato com um servidor command-and-control (C2) hard-coded, modgovindia[.]space:4000, para receber comandos, baixar payloads e exfiltrar dados.
O malware também cria persistência por meio de um cron job que executa o payload principal automaticamente após reboot do sistema ou término do processo.
A empresa de cibersegurança CloudSEK, que também relatou a atividade de forma independente, explicou que o malware realiza reconhecimento do sistema e está equipado para executar uma série de verificações dummy anti-debugging e anti-sandbox, tentando confundir emuladores e analisadores estáticos.
Além disso, a análise da Hunt.io sobre a campanha revelou que os ataques são projetados para implantar uma backdoor conhecida do Transparent Tribe chamada Poseidon, que possibilita coleta de dados, acesso prolongado, captura de credenciais e, potencialmente, movimentação lateral.
“A capacidade do APT36 de customizar seus mecanismos de entrega conforme o ambiente operacional da vítima aumenta suas chances de sucesso enquanto mantém o acesso persistente a infraestruturas governamentais críticas e evade controles tradicionais de segurança”, disse a CYFIRMA.
A divulgação ocorre semanas após os atores do Transparent Tribe terem sido observados mirando organizações de defesa indianas e entidades governamentais relacionadas, utilizando domínios spoofed com o objetivo final de roubar credenciais e códigos de autenticação de dois fatores (2FA).
Acredita-se que os usuários são redirecionados para essas URLs por meio de spear-phishing emails.
“Ao inserir um endereço de email válido na página inicial de phishing e clicar no botão ‘Next’, a vítima é redirecionada para uma segunda página que solicita a senha da conta de email e o código de autenticação do Kavach”, explicou a CYFIRMA.
Vale destacar que o foco no Kavach, uma solução 2FA usada por agências governamentais indianas para aprimorar a segurança das contas, é uma tática conhecida e adotada pelo Transparent Tribe e SideCopy desde o início de 2022.
“O uso de domínios typo-squatted combinados com infraestrutura hospedada em servidores no Paquistão é consistente com as táticas, técnicas e procedimentos estabelecidos pelo grupo”, acrescentou a empresa.
As descobertas também acompanham a identificação de uma campanha separada conduzida por um APT do sul da Ásia para atacar Bangladesh, Nepal, Paquistão, Sri Lanka e Turquia por meio de spear-phishing emails desenhados para roubo de credenciais, utilizando páginas falsas hospedadas no Netlify e Pages.dev.
“Essas campanhas imitam comunicações oficiais para enganar vítimas a inserirem credenciais em páginas de login falsas”, afirmou a Hunt.io no início deste mês, atribuindo a operação a um grupo hacker chamado SideWinder.
Páginas spoofed do Zimbra e Secure Portal foram feitas para parecerem serviços oficiais de email governamental, compartilhamento de arquivos ou upload de documentos, levando vítimas a enviar credenciais por meio de painéis de login falsos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...