Ciberseguridad 360 | India víctima de phishing gubernamental

El actor de amenazas persistentes avanzadas (APT) conocido como Transparent Tribe ha sido observado atacando sistemas Linux tanto Windows como BOSS (Bharat Operating System Solutions) con archivos maliciosos de acceso directo al escritorio en ataques dirigidos a entidades gubernamentales indias.

"El acceso inicial se consigue a trav�s de correos electr�nicos de spear-phishing", afirma CYFIRMA. "Los entornos Linux BOSS son atacados a trav�s de archivos de acceso directo .desktop que, una vez abiertos, descargan y ejecutan cargas maliciosas".

Transparent Tribe, tambi�n denominada APT36, se considera de origen pakistan�, y el grupo -junto con su subgrupo SideCopy- tiene un largo historial de irrupci�n en instituciones gubernamentales indias con una variedad de troyanos de acceso remoto (RAT).

La �ltima plataforma doble demuestra la continua sofisticaci�n del colectivo adversario, lo que le permite ampliar su huella de ataque y asegurar el acceso a entornos comprometidos.

Las cadenas de ataques comienzan con correos electr�nicos de phishing con supuestas convocatorias de reuniones que, en realidad, no son m�s que archivos de acceso directo al escritorio de Linux con trampas explosivas (�Meeting_Ltr_ID1543ops.pdf.desktop�). Estos archivos se hacen pasar por documentos PDF para enga�ar a los destinatarios y conseguir que los abran, lo que conduce a la ejecuci�n de un script de shell.

El script de shell sirve como dropper para obtener un archivo codificado hexadecimal de un servidor controlado por el atacante (�securestore[.]cv�) y guardarlo en el disco como un binario ELF, mientras que simult�neamente abre un PDF se�uelo alojado en Google Drive iniciando Mozilla Firefox. El binario basado en Go, por su parte, establece contacto con un servidor de comando y control (C2) codificado, modgovindia[.]space:4000, para recibir comandos, obtener cargas �tiles y filtrar datos.

El malware tambi�n establece la persistencia por medio de un cron job que ejecuta la carga �til principal autom�ticamente despu�s de un reinicio del sistema o la terminaci�n del proceso.

La empresa de ciberseguridad CloudSEK, que tambi�n inform� de la actividad de forma independiente, dijo que el malware realiza un reconocimiento del sistema y est� equipado para llevar a cabo una serie de comprobaciones falsas anti-depuraci�n y anti-sandbox en un intento de despistar a los emuladores y analizadores est�ticos.

Adem�s, el an�lisis de la campa�a realizado por Hunt.io ha revelado que los ataques est�n dise�ados para desplegar una puerta trasera conocida de Transparent Tribe llamada Poseidon que permite la recopilaci�n de datos, el acceso a largo plazo, la recolecci�n de credenciales y, potencialmente, el movimiento lateral.

"La capacidad de APT36 para personalizar sus mecanismos de entrega en funci�n del entorno operativo de la v�ctima aumenta as� sus posibilidades de �xito, al tiempo que mantiene un acceso persistente a infraestructuras gubernamentales cr�ticas y evade los controles de seguridad tradicionales", afirma CYFIRMA.

La revelaci�n se produce semanas despu�s de que se observara a los actores de Transparent Tribe dirigirse a organizaciones de defensa indias y entidades gubernamentales relacionadas utilizando dominios falsos con el objetivo final de robar credenciales y c�digos de autenticaci�n de dos factores (2FA). Se cree que los usuarios son redirigidos a estas URL a trav�s de correos electr�nicos de spear-phishing.

"Al introducir un ID de correo electr�nico v�lido en la p�gina de phishing inicial y hacer clic en el bot�n 'Siguiente', la v�ctima es redirigida a una segunda p�gina que solicita al usuario que introduzca la contrase�a de su cuenta de correo electr�nico y el c�digo de autenticaci�n Kavach", dijo CYFIRMA.

Cabe se�alar que el uso de Kavach, una soluci�n 2FA utilizada por las agencias gubernamentales indias para mejorar la seguridad de las cuentas, es una t�ctica de probada eficacia adoptada por Transparent Tribe y SideCopy desde principios de 2022.

"El uso de dominios con errores tipogr�ficos combinados con infraestructura alojada en servidores con sede en Pakist�n es coherente con las t�cticas, t�cnicas y procedimientos establecidos por el grupo", afirma la empresa.

Los hallazgos tambi�n siguen al descubrimiento de una campa�a separada llevada a cabo por un APT del sur de Asia para atacar Bangladesh, Nepal, Pakist�n, Sri Lanka y Turqu�a a trav�s de correos electr�nicos de spear-phishing que est�n dise�ados para el robo de credenciales utilizando p�ginas similares alojadas en Netlify y Pages.dev.

"Estas campa�as imitan la comunicaci�n oficial para enga�ar a las v�ctimas y conseguir que introduzcan sus credenciales en p�ginas de inicio de sesi�n falsas", explic� Hunt.io a principios de este mes, atribuy�ndolo a un grupo de piratas inform�ticos llamado SideWinder.

"Las p�ginas Zimbra y Secure Portal falsificadas se hac�an pasar por servicios oficiales gubernamentales de correo electr�nico, intercambio de archivos o carga de documentos, incitando a las v�ctimas a enviar credenciales a trav�s de paneles de inicio de sesi�n falsos."

Fuente: thehackernews