El actor de amenazas de la Tribu Transparente se ha vinculado a una nueva campaña dirigida a organizaciones gubernamentales indias con versiones troyanizadas de una solución de autenticación de dos factores llamada Kavach.
«Este grupo abusa de los anuncios de Google con el fin de hacer publicidad maliciosa para distribuir versiones de puertas traseras de las aplicaciones de autenticación múltiple (MFA) de Kavach», dijo Sudeep Singh, investigador de Zscaler ThreatLabz. dijo en un análisis del jueves.
La compañía de ciberseguridad dijo que el grupo de amenazas persistentes avanzadas también ha llevado a cabo ataques de recopilación de credenciales de bajo volumen en los que se crearon sitios web falsos que se hacían pasar por sitios web oficiales del gobierno indio para atraer a los usuarios involuntarios a ingresar sus contraseñas.
La Tribu Transparente, también conocida por los apodos APT36, Operation C-Major y Mythic Leopard, es un presunto colectivo adversario de Pakistán que tiene un historial de ataques a entidades indias y afganas.
La última cadena de ataques no es la primera vez que el actor de amenazas ha puesto sus miras en Kavach (que significa «armadura» en hindi), un aplicación obligatoria requerido por los usuarios con direcciones de correo electrónico en los dominios @gov.in y @nic.in para iniciar sesión en el servicio de correo electrónico como una segunda capa de autenticación.
A principios de marzo, Cisco Talos descubrió una campaña de piratería que empleaba instaladores falsos de Windows para Kavach como señuelo para infectar al personal del gobierno con CrimsonRAT y otros artefactos.
Una de sus tácticas comunes es la imitación del gobierno legítimo, el ejército y organizaciones relacionadas para activar la cadena de eliminación. La última campaña realizada por el actor de amenazas no es una excepción.
«El actor de amenazas registró varios dominios nuevos que alojan páginas web haciéndose pasar por el portal oficial de descarga de la aplicación Kavach», dijo Singh. «Abusaron de la función de búsqueda paga de Google Ads para llevar los dominios maliciosos a la parte superior de los resultados de búsqueda de Google para los usuarios de la India».
Desde mayo de 2022, también se dice que Transparent Tribe ha distribuido versiones de puerta trasera de la aplicación Kavach a través de tiendas de aplicaciones controladas por atacantes que afirman ofrecer descargas de software gratuitas.
Este sitio web también aparece como uno de los principales resultados en las búsquedas de Google, actuando efectivamente como una puerta de entrada para redirigir a los usuarios que buscan la aplicación al instalador fraudulento basado en .NET.
También se ha observado que el grupo, a partir de agosto de 2022, utiliza una herramienta de exfiltración de datos previamente no documentada con nombre en código LimePad, que está diseñada para cargar archivos de interés desde el host infectado al servidor del atacante.
Zscaler dijo que también identificó un dominio registrado por Transparent Tribe falsificando el página de inicio de sesión de la aplicación Kavach que solo se mostraba accediendo desde una dirección IP india, o redirigía al visitante a la página de inicio del Centro Nacional de Informática de la India (NIC).
La página, por su parte, está equipada para capturar las credenciales ingresadas por la víctima y enviarlas a un servidor remoto para realizar más ataques contra la infraestructura relacionada con el gobierno.
El uso de anuncios de Google y LimePad apunta a los continuos intentos del actor de amenazas por evolucionar y refinar sus tácticas y su conjunto de herramientas de malware.
«APT-36 sigue siendo uno de los grupos de amenazas persistentes avanzadas más frecuentes centrados en atacar a los usuarios que trabajan en organizaciones gubernamentales indias», dijo Singh. «Las aplicaciones utilizadas internamente en las organizaciones del gobierno indio son una opción popular de tema de ingeniería social utilizada por el grupo APT-36».