08/11/22
Согласно новому отчету Zscaler ThreatLabz, APT-группа Transparent Tribe (APT-36) проводит новую фишинговую кампанию, нацеленную на индийские правительственные организации. Это передает Securitylab.
Используя рекламу Google, киберпреступники распространяют вредоносную рекламу для заражения жертв троянизированной версией приложения аутентификации Kavach. Также APT-группа создала мошеннические веб-сайты, маскирующиеся под официальные порталы правительства Индии, чтобы собрать учетные данные жертв.
Transparent Tribe (APT-36, Operation C-Major и Mythic Leopard) является предположительно пакистанской APT-группой, которая в 2020 году проводила атаки в 27 странах , в том числе на индийские и афганские организации .
Kavach – обязательное приложение , которое требуется пользователям с email-адресами в доменах «@gov.in» и «@nic.in» для входа в службу электронной почты в качестве второго уровня аутентификации.
В ходе обнаруженной кампании злоумышленники зарегистрировали несколько новых доменов, на которых размещены веб-страницы, маскирующиеся под официальный портал загрузки приложения Kavach. Они использовали функцию платного поиска Google Ads, чтобы вывести вредоносные домены на первое место в результатах поиска Google для пользователей в Индии.
Также сообщается, что с мая 2022 года Transparent Tribe распространяет бесплатные версии приложения Kavach с бэкдором через магазины приложений, контролируемые хакерами. Эти магазины также занимают первое место в результатах поиска Google, выступая в качестве шлюза для перенаправления пользователей на вредоносный установщик на основе .NET.
Кроме того, с августа 2022 года группа использует ранее незадокументированный инструмент для эксфильтрации данных под кодовым названием LimePad, который предназначен для загрузки файлов с зараженного хоста на сервер злоумышленника.
Transparent Tribe также создали фишинговый домен, имитирующий страницу входа в приложение Kavach, которая отображалась только для индийских IP-адресов или перенаправляла посетителя на домашнюю страницу Национального центра информатики Индии (NIC). Страница предназначена для захвата введённых учетных данных жертвы и отправки их на удаленный сервер для проведения дальнейших атак на государственную инфраструктуру.
