Tác nhân đe dọa Bộ lạc minh bạch đã được liên kết với một chiến dịch mới nhằm vào các tổ chức chính phủ Ấn Độ với các phiên bản trojan của giải pháp xác thực hai yếu tố có tênKavach.
"Nhóm này lạm dụng quảng cáo của Google với mục đích quảng cáo độc hại để phân phối các phiên bản cửa hậu của các ứng dụng đa xác thực Kavach (MFA)", nhà nghiên cứu Sudeep Singh của Zscaler ThreatLabz cho biết trong một phân tích hôm thứ Năm.
Công ty an ninh mạng cho biết nhóm đe dọa dai dẳng tiên tiến cũng đã tiến hành các cuộc tấn công thu thập thông tin xác thực khối lượng thấp, trong đó các trang web lừa đảo giả mạo là trang web chính thức của chính phủ Ấn Độ được thiết lập để thu hút người dùng vô tình nhập mật khẩu của họ.
Bộ lạc trong suốt, còn được biết đến với biệt danh APT36, Chiến dịch C-Major và Báo thần thoại, là một tập thể đối thủ Pakistan bị nghi ngờ có lịch sử tấn công các thực thể Ấn Độ và Afghanistan.
Chuỗi tấn công mới nhất không phải là lần đầu tiên tác nhân đe dọa đặt mục tiêu vào Kavach (có nghĩa là "áo giáp" trong tiếng Hindi), một ứng dụng bắt buộc được yêu cầu bởi người dùng có địa chỉ email trên miền @gov.in và @nic.in để đăng nhập vào dịch vụ email dưới dạng lớp xác thực thứ hai.
Đầu tháng 3 này, Cisco Talos đã phát hiện ra một chiến dịch hack sử dụng các trình cài đặt Windows giả mạo cho Kavach làm mồi nhử để lây nhiễm CrimsonRAT và các hiện vật khác cho nhân viên chính phủ.
Một trong những chiến thuật phổ biến của họ là bắt chước chính phủ, quân đội hợp pháp và các tổ chức liên quan để kích hoạt killchain. Chiến dịch mới nhất được thực hiện bởi tác nhân đe dọa cũng không ngoại lệ.
"Tác nhân đe dọa đã đăng ký nhiều tên miền mới lưu trữ các trang web giả mạo là cổng tải xuống ứng dụng Kavach chính thức," Singh nói. "Họ đã lạm dụng tính năng tìm kiếm có trả tiền của Google Ads để đẩy các miền độc hại lên đầu kết quả tìm kiếm của Google cho người dùng ở Ấn Độ."
Kể từ tháng 5 năm 2022, Transparent Tribe cũng được cho là đã phân phối các phiên bản cửa sau của ứng dụng Kavach thông qua các cửa hàng ứng dụng do kẻ tấn công kiểm soát tuyên bố cung cấp tải xuống phần mềm miễn phí.
Trang web này cũng được hiển thị như một kết quả hàng đầu trong các tìm kiếm của Google, hoạt động hiệu quả như một cổng để chuyển hướng người dùng đang tìm kiếm ứng dụng đến . Trình cài đặt gian lận dựa trên NET.
Nhóm, bắt đầu từ tháng 8 năm 2022, cũng đã được quan sát bằng cách sử dụng một công cụ lọc dữ liệu không có giấy tờ trước đây có tên mã là LimePad, được thiết kế để tải các tệp quan tâm từ máy chủ bị nhiễm lên máy chủ của kẻ tấn công.
Zscaler cho biết họ cũng xác định một tên miền được đăng ký bởi Bộ lạc minh bạch giả mạo trang đăng nhập của ứng dụng Kavach chỉ được hiển thị được truy cập từ địa chỉ IP của Ấn Độ, nếu không sẽ chuyển hướng khách truy cập đến trang chủ của Trung tâm Tin học Quốc gia Ấn Độ (NIC).
Về phần mình, trang này được trang bị để nắm bắt thông tin đăng nhập của nạn nhân và gửi chúng đến một máy chủ từ xa để thực hiện các cuộc tấn công tiếp theo chống lại cơ sở hạ tầng liên quan đến chính phủ.
Việc sử dụng quảng cáo của Google và LimePad chỉ ra những nỗ lực liên tục của tác nhân đe dọa trong việc phát triển và tinh chỉnh các chiến thuật và bộ công cụ phần mềm độc hại của mình.
"APT-36 tiếp tục là một trong những nhóm đe dọa dai dẳng tiên tiến phổ biến nhất tập trung vào việc nhắm mục tiêu người dùng làm việc trong các tổ chức chính phủ Ấn Độ," Singh nói. "Các ứng dụng được sử dụng nội bộ tại các tổ chức chính phủ Ấn Độ là một lựa chọn phổ biến về chủ đề kỹ thuật xã hội được sử dụng bởi nhóm APT-36."