Hindistan’a Karşı Siber Casusluk Kampanyasında Kullanılan Sahte Toplantı Dosyaları

Pakistanlı APT36 hackerları, Hindistan’daki BOSS Linux sistemlerine saldırmak için silahlandırılmış kısayol dosyaları, phishing, kötü amaçlı yazılım ve 2FA hırsızlığını kullanıldığı belirlendi.

Pakistan merkezli hacker grubu APT36, aynı zamanda Transparent Tribe olarak da biliniyor, yeni bir siber casusluk operasyonuna başladı. Bu operasyon, Hindistan hükümet sistemlerine yönelik ve CYFIRMA tarafından yapılan araştırmaya göre belirlendi.

Grup, yeteneklerinin farklı ortamlara adapte olma yeteneğini göstererek Hindistan’ın BOSS Linux işletim sistemi için zararlı yazılım oluşturmuştur.

Saldırı, “Meeting_Notice_Ltr_ID1543ops.pdf_.zip” adında bir dosya içeren mızraklı balıkçılık e-postalarıyla başlar. Bir kere açıldığında, “Meeting_Ltr_ID1543ops.pdf.desktop” adlı sahte bir kısayol dosyasını ortaya çıkar. Zararsız bir PDF gibi görünmesine rağmen, bu dosya gizlice zararlı yazılımı indirmek üzere programlanmıştır.

“Gösterilen ‘.desktop’ dosyası, normal bir PDF kısayolu gibi görünmek için tasarlanmış ancak içinde, dosya başlatıldığı anda otomatik ve sıralı olarak yürütülen komutlar zinciri bulunan bir Exec= satırı içerir. Bu, saldırganın kurbanın farkında olmadan gizli eylemler gerçekleştirmesini sağlar,” dedi araştırmacılar.

Bu zararlı yazılım, Firefox’ta gerçek bir PDF açarak kullanıcıların hiçbir şüpheli durumun meydana gelmediğine inanmalarını sağlayan aldatıcı yöntemler kullanır.

Gizli program, veri çalma işlemini gizli modda gerçekleştirir ve her bilgisayar açıldığında yeniden başlatılmak üzere kendini ayarlar.

CYFIRMA tarafından keşfedilen zararlı dosyalar, saldırganların komuta ve kontrol sunucuları olarak hizmet veren “securestore[.]cv” ve “modgovindia[.]space” adlı yeni kaydedilmiş alan adlarına bağlanır. Bu sunucular aracılığıyla, hackerlar komutları iletebilir ve çalınan verileri alabilirken, hükümet ağlarına erişimlerini sürdürürler.

CYFIRMA, APT36’ın on yılı aşkın bir süredir aktif olan ve öncelikli olarak Hint hükümet kurumlarına, askeri ve diplomatik organizasyonlara hedef olan bir devlet destekli grup olarak faaliyet gösterdiğini belirtiyor.

Hacker News, bu kampanyanın APT36’ın artan sofistikasyonunu gösterdiğini bildiriyor. Grup, Linux BOSS’u hedef almanın yanı sıra, aynı kampanyada Windows zararlı yazılımı da geliştirdi, bu da çift platformlu bir yaklaşımı gösteriyor.

Kötü amaçlı kod, tespit edilmemek için sahte anti-hata ayıklama ve anti-sandbox kontrollerini gerçekleştirirken sistem keşfi yapar, CloudSEK‘e göre. Saldırılar, saldırganların kimlik bilgilerini çalmasına, uzun süreli gözetim yapmasına ve hükümet ağları içindeki ağ yan hareketine izin veren Transparent Tribe arka kapısı Poseidon’un kurulumuna yol açtı, Hunt.io araştırmacıları tarafından bildirildi.

Hacker News, bu aktivitenin, Transparent Tribe’ın sahte giriş portalları üzerinden Hindistan savunma kuruluşlarını hedef alırken ve hatta Kavach, Hindistan hükümetinin iki faktörlü kimlik doğrulama (2FA) sistemini bile çalmaya çalışırken yakalandıktan kısa bir süre sonra geldiğine dikkat çekiyor.

Kurbanlar, phishing sitelerine e-postalarını ve Kavach kodlarını girerek bilgilerini farkında olmadan saldırganlara doğrudan teslim ettiler.

CYFIRMA şunları belirtti: “APT36’ın, kurbanın işletim ortamına göre teslimat mekanizmalarını özelleştirme yeteneği, başarı şansını artırırken kritik devlet altyapısına sürekli erişimi sürdürüyor ve geleneksel güvenlik kontrollerinden kaçınıyor.

CYFIRMA, “Analiz, APT36’ya atfedilen, silahlandırılmış .desktop dosyalarını kullanarak Hindistan Hükümeti kurumlarındaki BOSS Linux ortamlarını hedefleyen koordineli bir siber casusluk kampanyasını gösteriyor” şeklinde uyardı.