Yeni bir hedefli kimlik avı kampanyası, adlı iki faktörlü bir kimlik doğrulama çözümüne odaklandı. kavaç Hindistan hükümet yetkilileri tarafından kullanılıyor.
Siber güvenlik firması Securonix, etkinliğin adını verdi STEPPY#KAVACHönceki saldırılarla taktik örtüşmelere dayalı olarak SideCopy olarak bilinen bir tehdit aktörüne atfedilir.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, “.LNK dosyaları, sonunda bir uzaktan erişim truva atı (RAT) işlevi gören kötü amaçlı bir C# yükünü indiren ve çalıştıran kod yürütmeyi başlatmak için kullanılır.” söz konusu yeni bir raporda.
SideCopy, bir bilgisayar korsanlığı ekibi Pakistan kökenli olduğuna inanılan ve en az 2019’dan beri aktif olan, Transparent Tribe (diğer adıyla APT36 veya Mythic Leopard) adlı başka bir aktörle bağları paylaştığı söyleniyor.
Ayrıca, kendi araç setini konuşlandırmak için Pakistan merkezli askeri varlıkları orantısız bir şekilde öne çıkaran üretken bir ulus-devlet grubu olan SideWinder tarafından kullanılan saldırı zincirlerini taklit ettiği de biliniyor.
Bununla birlikte, bu, Kavach’ın oyuncu için ilk kez hedef olarak ortaya çıkışı değil. Temmuz 2021’de Cisco Talos, Hindistan hükümeti çalışanlarının kimlik bilgilerini çalmak için üstlenilen bir casusluk operasyonunun ayrıntılarını verdi.
Kavach temalı tuzak uygulamalar, o zamandan beri, yılın başından bu yana Hindistan’ı hedef alan saldırılarında Transparent Tribe tarafından ortaklaşa kullanıldı.
Securonix tarafından son birkaç hafta içinde gözlemlenen en son saldırı sekansı, potansiyel kurbanları bir kısayol dosyasını (.LNK) açarak uzaktan bir .HTA yükü yürütmek üzere cezbetmek için kimlik avı e-postalarının kullanılmasını içeriyor. mshta.exe Windows yardımcı programı.
Şirket, HTML uygulamasının “sitenin bazı resimlerini depolamak için tasarlanmış belirsiz bir ‘galeri’ dizininin içine yerleştirilmiş, güvenliği ihlal edilmiş olması muhtemel bir web sitesinde barındırıldığı keşfedildi.”
Söz konusu güvenliği ihlal edilmiş web sitesi, gelir vergisi delhisidir.[.]org, Hindistan’ın Delhi bölgesiyle ilgili Gelir Vergisi departmanının resmi web sitesi. Kötü amaçlı dosya artık portalda mevcut değil.
Bir sonraki aşamada, .HTA dosyasının çalıştırılması, şu özelliklere sahip bir yanıltıcı görüntü dosyasını göstermek için tasarlanmış, karartılmış JavaScript kodunun yürütülmesine yol açar: duyuru Hindistan Savunma Bakanlığı’ndan bir yıl önce Aralık 2021’de.
JavaScript kodu ayrıca uzak bir sunucudan yürütülebilir bir dosya indirir, Windows Kayıt Defteri değişiklikleri aracılığıyla kalıcılık sağlar ve ikili başlatma sonrası otomatik olarak başlatmak için makineyi yeniden başlatır.
İkili dosya, kendi adına, tehdit aktörünün saldırganın kontrolündeki bir etki alanından gönderilen komutları yürütmesine, ek yükler getirip çalıştırmasına, ekran görüntüleri almasına ve dosyaları sızdırmasına olanak tanıyan bir arka kapı işlevi görür.
Sızdırma bileşeni ayrıca, kimlik bilgilerini depolamak için sistemde Kavach uygulaması tarafından oluşturulan bir veritabanı dosyasını (“kavach.db”) özel olarak arama seçeneğini de içerir.
Bahsedilen enfeksiyon zincirinin ifşa MalwareHunterTeam tarafından 8 Aralık 2022’de uzaktan erişim truva atını MargulasRAT olarak tanımlayan bir dizi tweet’te.
Araştırmacılar, “Tehdit aktörleri tarafından kullanılan RAT’tan elde edilen ikili örneklerden elde edilen ilişkili verilere dayanarak, bu kampanya geçen yıl boyunca tespit edilemeyen Hint hedeflerine karşı devam ediyor.” Dedi.
