【安全资讯】详细披露新型恶意软件针对印度政府的攻击

“透明部落”的威胁行动者与一场针对印度政府组织的新运动有关，该运动使用了名为Kavach的双因素认证解决方案的木马版本。

Zscaler ThreatLabz研究员Sudeep Singh在周四的一份分析报告中说:“这个组织滥用谷歌广告，以销售Kavach多重认证(MFA)应用程序的后门版本为目的。”

这家网络安全公司表示，先进的持续威胁组织还进行了小批量的证书收集攻击，建立伪装成印度政府官方门户的流氓网站，诱骗不知情的用户输入密码。

透明部落，也被称为APT36, C-Major行动和神话豹，是一个可疑的巴基斯坦敌对集体，有打击印度和阿富汗实体的历史。

最新的攻击链并不是黑客第一次将目标锁定在Kavach(在印地语中是“盔甲”的意思)上，这是一款电子邮件地址在@gov上的用户必须使用的应用程序。@nic。在域中登录电子邮件服务，作为第二层身份验证。

今年3月初，思科塔洛斯(Cisco Talos)发现了一场黑客行动，该行动为卡瓦奇雇佣了假冒的Windows安装程序作为诱饵，用CrimsonRAT和其他病毒感染政府人员。

他们常用的策略之一是模仿合法的政府、军队和相关组织来激活杀戮链。由威胁行动者发起的最新行动也不例外。

辛格说:“威胁行为者注册了多个新域名，托管伪装成官方Kavach应用程序下载门户的网页。”“他们滥用谷歌广告的付费搜索功能，将恶意域名推到印度用户谷歌搜索结果的顶部。”

据称，自2022年5月以来，Transparent Tribe还通过攻击者控制的应用商店分发了Kavach应用的后门版本，这些商店声称提供免费软件下载。

这个网站也出现在谷歌搜索的顶级结果中，有效地充当了一个网关，将寻找应用程序的用户重定向到基于. net的欺诈安装程序。

从2022年8月开始，还观察到该组织使用了一种以前没有记录的数据泄露工具，代号为LimePad，该工具旨在从受感染的主机上传感兴趣的文件到攻击者的服务器。

Zscaler表示，它还发现了一个由Transparent Tribe注册的域名，该域名欺骗了Kavach应用程序的登录页面，只有从印度IP地址访问时才会显示，或者将访问者重定向到印度国家信息中心(NIC)的主页。

就其本身而言，该页面可以捕获受害者输入的凭据，并将其发送到远程服务器，用于对政府相关基础设施进行进一步的攻击。

谷歌广告和LimePad的使用表明，威胁行为者在不断尝试改进和完善其战术和恶意软件工具集。

辛格说:“APT-36仍然是最普遍的高级持续威胁组织之一，主要针对在印度政府组织工作的用户。”“在印度政府组织内部使用的应用程序是APT-36小组使用的社会工程主题的流行选择。”

参考链接：
[1]https://thehackernews.com/2022/11/researchers-detail-new-malware-campaign.html