APT36, AKA 'Şeffaf Kabile' veya 'Meyzet Leopar' olarak izlenen hack gruptan yeni bir kampanya, Hindistan hükümetine karşı saldırılarda yeni özel kötü amaçlı yazılım ve giriş vektörleri kullanılarak keşfedildi.
Belirli bir tehdit aktör, Pakistan merkezli, en az 2016'dan bu yana aktif olmuştur ve hedefleri neredeyse sadece Hint Savunma ve Hükümet varlıklarıdır.
Grup'un amacı, siber-casusluk yoluyla zeka toplamaktır, bu yüzden hepsi APT36'nın Pakistan hizalı ve devlet destekli bir tehdit aktör olduğu düşünülmektedir.
Cisco Talos'taki araştırmacılar, bugün APT36'nın faaliyetleriyle ilgili son bulgularını ayrıntılandıran bir rapor yayınladı ve tehdit aktörünün taktiklerinde bazı ilginç yeni vardiyaların altını çizdi.
Yeni kampanyanın en ilginç yönü, Hindistan hükümetinin çalışanlarını hedef alan bağcıklı Kavach kimlik doğrulama uygulamalarının kullanımıdır.
Kavach kimlik doğrulaması, Hindistan Ulusal Bilişim Merkezi tarafından kritik BT sistemlerinde çok faktörlü kimlik doğrulaması için yazılmış bir OTP uygulamasıdır.
Uygulamanın, e-posta hizmetleri veya veritabanları gibi BT kaynaklarına erişmesi gereken Hint hükümetinin askeri personeli veya çalışanları tarafından yaygın olarak kullanılır.
Sahte Kavach yükleyicilerinin dağılımı, Savunma Servisi Memurlarının Enstitüsü gibi, Hindistan Hükümeti'nin yasal bölgelerinin klonları olan sahte web siteleri aracılığıyla yapılır.
Mağdurlar, meşru bir Kavach yükleyicisinin bir kopyasını alır ve ayrıca, enfeksiyon sürecini otomatik olarak tercih edilen bir seçim kötü amaçlı yazılımıyla otomatik olarak başlatan kötü amaçlı bir yük yükü alırlar.
Hem klonlanmış web siteleri hem de kötü amaçlı yazılımların meşru ve bilinen uygulamalar olarak kullanılması, APT36'nın ortak ve daha önce gözlemlenen taktikleridir.
Tehdit oyuncusu, ilk önce 2020 kampanyada görülen Crimsonrat'ı kullanıyor, ancak kötü amaçlı yazılımlar operatörlerine daha fazla yetenek sunmak için gelişti.
Crimsonrat, APT36'nın birincil Spearhead Aracıdır, tarayıcıdan kimlik bilgileri çaldırabilen, koşu işlemlerini listeleyin, C2'den ek yükler alın ve ekran görüntülerini yakalayın.
2022 versiyonunda, Crimsonrat ayrıca bir keylogger'ı kullanır, tehlikeye giren sistemdeki keyfi komutların yürütülmesini destekler, dosyaların içeriğini okuyabilir, dosyaları ve daha fazlasını okuyabilir.
Son kampanyalarda kullanılan başka bir araç, Crimsonrat'a kıyasla daha temel olan ancak hala aşağıdaki gibi güçlü fonksiyonlar sunan hafif bir .NET uzaktan erişim trojanıdır.
APT36 Muhtemelen, fazlalık için ikinci implantı kullanırken, gelecekte daha fazla özellikle geliştirilecek olan yeni bir özel sıçanın erken gelişimi versiyonu olabilir.
2021'de APT36 ayrıca, devlet personeline karşı çok dar hedefleme saldırılarında obliquerat kullanırken, enfeksiyon vektörü daha sonra VBS-Laced belgelerine sahip e-postalarıydı.
'Şeffaf kabile' hala gelişmektedir ve çok aktif kalır, implantlarını iyileştirir ve enfeksiyon vektörlerini düzenli olarak yenilemek için düzenli olarak yeniliyor.
Sıçan kötü amaçlı yazılımını sağlamak için kullanılan kötü amaçlı Microsoft Excel eklentileri
Yeni Mustang Panda Hack Kampanyası Diplomatları Hedefliyor, ISS'ler
Bitrat kötü amaçlı yazılım şimdi Windows 10 lisans aktivatörü olarak yayılıyor
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Kötü Amaçlı Yazılım Kampanyası, Siteleri satın almak isteyen VC firmasını taklit eder.
Kaynak: Bleeping Computer