استخدم ممثل التهديد المستمر المتقدم (APT) الذي يتخذ من باكستان مقراً له والمعروف باسم Transparent Tribe أداة مصادقة ثنائية (2FA) تستخدمها الوكالات الحكومية الهندية كخدعة لتقديم باب خلفي جديد على نظام Linux يسمى Poseidon.
قال الباحث الأمني في Uptycs Tejaswini Sandapolla في تقرير تقني نُشر هذا الأسبوع : "Poseidon هو برنامج ضار ذو حمولة من المرحلة الثانية مرتبط بـ Transparent Tribe" .
"إنه باب خلفي للأغراض العامة يوفر للمهاجمين نطاقًا واسعًا من القدرات لاختطاف مضيف مصاب. وتشمل وظائفه تسجيل ضغطات المفاتيح ، وأخذ لقطات الشاشة ، وتحميل الملفات وتنزيلها ، وإدارة النظام عن بُعد بطرق مختلفة."
يتم تتبع القبيلة الشفافة أيضًا باسم APT36 و Operation C-Major و PROJECTM و Mythic Leopard ، ولديها سجل حافل في استهداف المنظمات الحكومية الهندية والعسكريين ومقاولي الدفاع والكيانات التعليمية.
كما أنها استفادت بشكل متكرر من إصدارات طروادة من Kavach ، وهو برنامج 2FA بتكليف من الحكومة الهندية ، لنشر مجموعة متنوعة من البرامج الضارة مثل CrimsonRAT و LimePad لجمع معلومات قيمة.
استفادت حملة تصيد أخرى تم اكتشافها في أواخر العام الماضي من المرفقات المسلحة لتنزيل برامج ضارة مصممة لاستخراج ملفات قاعدة البيانات التي تم إنشاؤها بواسطة تطبيق Kavach.
تستلزم أحدث مجموعة من الهجمات استخدام إصدار خلفي من Kavach لاستهداف مستخدمي Linux الذين يعملون لدى الوكالات الحكومية الهندية ، مما يشير إلى المحاولات التي قام بها الفاعل لتوسيع نطاق هجومه خارج أنظمة Windows و Android.
وأوضح Sandapolla أنه "عندما يتفاعل المستخدم مع الإصدار الخبيث من Kavach ، يتم عرض صفحة تسجيل الدخول الأصلية لتشتيت انتباهه". "في غضون ذلك ، يتم تنزيل الحمولة في الخلفية ، مما يعرض نظام المستخدم للخطر."
نقطة البداية للإصابات هي عينة من البرامج الضارة ELF ، ملف Python قابل للتنفيذ تم تصميمه لاسترداد حمولة Poseidon للمرحلة الثانية من خادم بعيد.
أشارت شركة الأمن السيبراني إلى أن تطبيقات Kavach المزيفة يتم توزيعها بشكل أساسي من خلال مواقع الويب المارقة التي تتنكر في شكل مواقع حكومية هندية شرعية. وهذا يشمل www.ksboard [.] في و www.rodra [.] في.
نظرًا لأن الهندسة الاجتماعية هي ناقل الهجوم الأساسي الذي تستخدمه شركة Transparent Tribe ، يُنصح المستخدمون العاملون داخل الحكومة الهندية بالتحقق مرة أخرى من عناوين URL الواردة في رسائل البريد الإلكتروني قبل فتحها.
وقال ساندابولا إن "تداعيات هجوم APT36 هذا يمكن أن تكون كبيرة ، مما يؤدي إلى فقدان معلومات حساسة وأنظمة مخترقة وخسائر مالية وإضرار بالسمعة".