Системы правительства Индии под атакой: Хакеры используют поддельные ярлыки

Группа хакеров, связанная с Пакистаном и известная как Transparent Tribe (APT36), снова в центре внимания за запуск новой кибератак на индийские государственные учреждения.

Исследователи кибербезопасности из компании CYFIRMA обнаружили новую кампанию кибершпионажа, нацеленную на индийские государственные агентства, в которой злоумышленники маскируют вредоносные ярлыки рабочего стола под безобидные PDF-документы, чтобы тайно установить вредоносное ПО в фоновом режиме.

Как работает атака

Согласно CYFIRMA, кампания начинается с фишинговых электронных писем, которые выглядят как официальные приглашения на встречу с файлом, названным чем-то вроде “Meeting_Ltr_ID1543ops.pdf.desktop”. Вместо открытия PDF-файла, жертвы, которые нажимают на прикрепленный файл, который выглядит как безобидный документ, невольно запускают вредоносный ярлык, который устанавливает шпионское ПО в фоновом режиме.

Файл загружает вредоносный код с серверов, контролируемых злоумышленниками, таких как securestore[.]cv и modgovindia[.]space, и устанавливает его в фоновом режиме. Чтобы избежать подозрений, поддельный PDF, размещенный на Google Drive, открывается в Firefox, обманывая жертву, заставляя ее поверить, что она просто открыла документ встречи.

Попав в систему, вредоносное ПО — написанное на языке программирования Go — может красть конфиденциальные данные, собирать учетные данные для входа, обеспечивать долгосрочный доступ и оставаться активным даже после перезагрузки, создавая автоматизированные задачи.

“Способность APT36 настраивать свои механизмы доставки в зависимости от операционной среды жертвы тем самым увеличивает шансы на успех, сохраняя при этом постоянный доступ к критической государственной инфраструктуре и избегая традиционных средств безопасности,” — написала CYFIRMA в блоге исследования.

В отличие от предыдущих операций, эта кампания специально нацелена на системы на базе Linux в Индии, такие как BOSS (Bharat Operating System Solutions) — операционная система, поддерживаемая правительством, в дополнение к системам Windows.

Чтобы поддерживать постоянство, вредоносное ПО добавляет задачу cron, которая запускает скрытую нагрузку ‘.config/systemd/systemd-update’ каждый раз, когда система перезагружается, обеспечивая ее активность даже после отключения или завершения процессов.

Поскольку BOSS широко используется в государственных учреждениях, это двойное нацеливание увеличивает шансы хакеров на успех.

Почему это важно

Эксперты по безопасности предупреждают, что развивающиеся тактики Transparent Tribe теперь сместились от традиционного использования вредоносного ПО для Windows к разработке угроз, нацеленных на Linux BOSS.

“Применение .desktop нагрузок, нацеленных на Linux BOSS, отражает тактический сдвиг в сторону эксплуатации местных технологий. В сочетании с традиционным вредоносным ПО для Windows и мобильными имплантами это показывает намерение группы диверсифицировать векторы доступа и обеспечить постоянство даже в защищенных средах,” — заявила CYFIRMA.

Увеличивая опасность, группа также управляет сайтами для сбора учетных данных, которые имитируют индийские правительственные порталы. Поддельные страницы входа обманывают жертв, заставляя их передавать свои электронные адреса, пароли и даже коды двухфакторной аутентификации Kavach (2FA) — меры безопасности, используемой индийскими агентствами с 2022 года. Обойдя этот уровень безопасности, злоумышленники получают полный доступ к конфиденциальным учетным записям.

Долгосрочная угроза

Transparent Tribe, как полагают, действующая из Пакистана, активна более десяти лет, регулярно нацеливаясь на индийское правительство, оборону и организации критической инфраструктуры. Их тактики постоянно эволюционировали — от простого вредоносного ПО для Windows до высоко настроенных бэкдоров для Linux и схем кражи учетных данных по всему Южной Азии.

Рекомендации и смягчение

Исследователи безопасности советуют государственным служащим осторожно обращаться с вложениями в электронных письмах и страницами входа, так как замаскированные PDF и поддельные порталы используются для обмана пользователей с целью получения их учетных данных.

Чтобы противостоять кампании APT36, нацеленной на индийские государственные учреждения через вооруженные .desktop файлы, агентствам рекомендуется развернуть надежную защиту электронной почты, проводить регулярное обучение пользователей и укреплять BOSS Linux с контролем наименьших привилегий. Обнаружение конечных точек, мониторинг сети и интеграция IOC/YARA правил помогут в раннем обнаружении, в то время как своевременное исправление и основанные на поведении меры контроля жизненно важны для блокировки подозрительной активности.

Более широкая картина

Инцидент подчеркивает риски национальной безопасности, возникающие из-за групп APT, нацеленных на государственную инфраструктуру. Если атаки будут успешными, это может привести к краже секретных данных, сбоям в критических операциях и обеспечению долгосрочного наблюдения за индийскими агентствами. Поскольку Transparent Tribe продолжает развивать свои методы, Индия сталкивается с растущей проблемой защиты чувствительной инфраструктуры от кибершпионажа.