Hacker grubunun APT36, diğer adıyla ‘Transparent Tribe’ veya ‘Mythic Leopard’ olarak izlenen yeni bir kampanyası, Hindistan hükümetine yönelik saldırılarda yeni özel kötü amaçlı yazılım ve giriş vektörleri kullanılarak keşfedildi.
Söz konusu tehdit aktörü en az 2016’dan beri Pakistan’da faaliyet gösteriyor ve hedefleri tarihsel olarak neredeyse yalnızca Hindistan savunma ve devlet kurumlarıydı.
Grubun amacı siber casusluk yoluyla istihbarat toplamak, yani sonuçta, APT36 Pakistan bağlantılı ve devlet destekli bir tehdit aktörü olarak kabul ediliyor.
Araştırmacılar Cisco Talos’u bugün, APT36’nın etkinliğine ilişkin son bulgularını detaylandıran ve tehdit aktörünün taktiklerindeki bazı ilginç yeni değişimlerin altını çizen bir rapor yayınladılar.
Yeni enfeksiyon vektörü
Yeni kampanyanın en ilginç yanı, Hindistan hükümetinin çalışanlarını hedefleyen bağcıklı Kavach kimlik doğrulama uygulamalarının kullanılması.
Kavach Authentication, kritik BT sistemlerinde güvenli çok faktörlü kimlik doğrulama için Hindistan Ulusal Bilişim Merkezi tarafından yazılmış bir OTP uygulamasıdır.
Uygulama, e-posta hizmetleri veya veritabanları gibi BT kaynaklarına erişmesi gereken Hindistan hükümetinin askeri personeli veya çalışanları tarafından yaygın olarak kullanılmaktadır.
Sahte Kavach kurulumcularının dağıtımı, Savunma Hizmet Görevlileri Enstitüsü gibi Hindistan hükümetlerinin meşru sitelerinin klonları olan sahte web siteleri aracılığıyla yapılır.
Kurbanlar, meşru bir Kavach yükleyicisinin bir kopyasını ve ayrıca tehdit aktörünün tercih ettiği kötü amaçlı yazılımla bulaşma sürecini otomatik olarak başlatan kötü amaçlı bir yük alır.
Hem klonlanmış web siteleri hem de meşru ve bilinen uygulamalar olarak maskelenen kötü amaçlı yazılımların kullanımı, APT36’nın yaygın ve önceden gözlemlenen taktikleridir.
Yeni özel kötü amaçlı yazılım
Tehdit aktörü, ilk olarak 2020 kampanyalarında görülen CrimsonRAT’ı kullanmaya devam ediyor, ancak kötü amaçlı yazılım, operatörlerine daha fazla yetenek sunmak için gelişti.
CrimsonRAT, tarayıcıdan kimlik bilgilerini çalabilen, çalışan işlemleri listeleyebilen, C2’den ek yükleri alabilen ve ekran görüntüleri yakalayabilen APT36’nın birincil öncü aracıdır.
2022 sürümünde CrimsonRAT ayrıca bir keylogger kullanır, güvenliği ihlal edilmiş sistemde rastgele komutların yürütülmesini destekler, dosyaların içeriğini okuyabilir, dosyaları silebilir ve daha fazlasını yapabilir.
Son kampanyalarda kullanılan başka bir araç, CrimsonRAT’a kıyasla daha basit olan ancak yine de aşağıdakiler gibi güçlü işlevler sunan hafif bir .NET uzaktan erişim truva atıdır:
- Uç noktada çalışan tüm işlemleri listeleyin.
- C2’den bir dosya indirin ve çalıştırın.
- C2 tarafından belirtilen bir dosyayı başka bir uzak konumdan indirin ve çalıştırın.
- Bir sonraki çalıştırmaya kadar C2 ile bağlantıyı kapatın.
- Bilgisayar Adı, kullanıcı adı, genel ve yerel IP’ler, İşletim sistemi adı, çalışan AV’lerin listesi, cihaz türü (masaüstü veya dizüstü bilgisayar) gibi uç noktadan sistem bilgilerini toplayın.
APT36 muhtemelen bu ikinci implantı yedeklilik için kullanır, ancak gelecekte daha fazla özellikle geliştirilecek olan yeni bir özel RAT’ın yalnızca erken geliştirme sürümü olabilir.
2021’de APT36, devlet personeline yönelik çok dar hedefleme saldırılarında ObliqueRAT’ı da kullanırken, bulaşma vektörü daha sonra VBS bağlantılı belgeler içeren e-postalardı.
‘Şeffaf Kabile’ hala gelişiyor ve son derece aktif kalıyor, implantlarını geliştiriyor ve enfeksiyon vektörlerini yakalanması ve tespit edilemez olması için düzenli olarak yeniliyor.