L’acteur pakistanais de la menace persistante avancée (APT) connu sous le nom de Tribu transparente a utilisé un outil d’authentification à deux facteurs (2FA) utilisé par les agences gouvernementales indiennes comme ruse pour fournir une nouvelle porte dérobée Linux appelée Poseidon.
« Poséidon est un malware de charge utile de deuxième étape associé à Transparent Tribe », a déclaré Tejaswini Sandapolla, chercheur en sécurité chez Uptycs, dans un rapport technique. rapport publié cette semaine.
« Il s’agit d’une porte dérobée à usage général qui offre aux attaquants un large éventail de capacités pour détourner un hôte infecté. Ses fonctionnalités incluent l’enregistrement des frappes au clavier, la prise de captures d’écran, le téléchargement de fichiers et l’administration à distance du système de différentes manières. »
Transparent Tribe est également suivi comme APT36, Operation C-Major, PROJECTM et Mythic Leopard, et a l’habitude de cibler des organisations gouvernementales indiennes, du personnel militaire, des sous-traitants de la défense et des entités éducatives.
Il a également exploité à plusieurs reprises des versions trojanisées de Kavach, le logiciel 2FA mandaté par le gouvernement indien, pour déployer une variété de logiciels malveillants, tels que CrimsonRAT et LimePad afin de récolter des informations précieuses.
Une autre campagne de phishing détectée à la fin de l’année dernière a profité de pièces jointes militarisées pour télécharger des logiciels malveillants conçus pour exfiltrer les fichiers de base de données créés par l’application Kavach.
La dernière série d’attaques implique l’utilisation d’une version dérobée de Kavach pour cibler les utilisateurs de Linux travaillant pour des agences gouvernementales indiennes, indiquant les tentatives faites par l’acteur de la menace pour étendre son spectre d’attaque au-delà des écosystèmes Windows et Android.
« Lorsqu’un utilisateur interagit avec la version malveillante de Kavach, la véritable page de connexion s’affiche pour le distraire », a expliqué Sandapolla. « Pendant ce temps, la charge utile est téléchargée en arrière-plan, compromettant le système de l’utilisateur. »
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Le point de départ des infections est un Exemple de logiciel malveillant ELFun exécutable Python compilé conçu pour récupérer la deuxième étape Charge utile Poséidon depuis un serveur distant.
La société de cybersécurité a noté que les fausses applications Kavach sont principalement distribuées via des sites Web malveillants déguisés en sites légitimes du gouvernement indien. Cela inclut www.ksboard[.]dans et www.rodra[.]dans.
L’ingénierie sociale étant le principal vecteur d’attaque utilisé par Transparent Tribe, il est conseillé aux utilisateurs travaillant au sein du gouvernement indien de revérifier les URL reçues dans les e-mails avant de les ouvrir.
« Les répercussions de cette attaque APT36 pourraient être importantes, entraînant la perte d’informations sensibles, des systèmes compromis, des pertes financières et des atteintes à la réputation », a déclaré Sandapolla.