跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

研究人员详细介绍了针对印度政府雇员的新恶意软件活动


CNHAT

推荐的帖子

透明部落威胁参与者与针对印度政府组织的新活动有关,该活动使用名为Kavach的双因素身份验证解决方案的木马化版本。

Zscaler ThreatLabz 研究员 Sudeep Singh在周四的分析中表示: “该组织滥用 Google 广告进行恶意广告,以分发 Kavach 多重身份验证 (MFA) 应用程序的后门版本。”

这家网络安全公司表示,高级持续性威胁组织还进行了小规模的凭据收集攻击,其中建立了伪装成印度政府官方网站的流氓网站,以引诱不知情的用户输入密码。

透明部落,也被称为 APT36、C-Major 和 Mythic Leopard 的绰号,是一个可疑的巴基斯坦敌对团体,有打击印度和阿富汗实体的历史

 

最新的攻击链并不是威胁行为者第一次将目光投向 Kavach(在印地语中意为“盔甲”),这是一个强制应用程序,用户必须在 @gov.in 和 @nic.in 域上拥有电子邮件地址才能签名进入电子邮件服务作为第二层身份验证。

今年 3 月初,Cisco Talos发现了一场黑客活动,该活动使用 Kavach 的假 Windows 安装程序作为诱饵,用 CrimsonRAT 和其他人工制品感染政府人员。

他们常用的策略之一是模仿合法的政府、军队和相关组织来激活杀伤链。威胁行为者进行的最新活动也不例外。

“威胁行为者注册了多个新域托管伪装成官方 Kavach 应用程序下载门户的网页,”辛格说。“他们滥用 Google Ads 的付费搜索功能,将恶意域名推到印度用户的 Google 搜索结果顶部。”

印度政府雇员

Since May 2022, Transparent Tribe is also said to have distributed backdoored versions of the Kavach app through attacker-controlled application stores that claim to offer free software downloads.

This website is also surfaced as a top result in Google searches, effectively acting as a gateway to redirect users looking for the app to the .NET-based fraudulent installer.

The group, beginning August 2022, has also been observed using a previously undocumented data exfiltration tool codenamed LimePad, which is designed to upload files of interest from the infected host to the attacker's server.

Zscaler said it also identified a domain registered by Transparent Tribe spoofing the login page of the Kavach app that was only displayed accessed from an Indian IP address, or else redirected the visitor to the home page of India's National Informatics Centre (NIC).

The page, for its part, is equipped to capture the credentials entered by the victim and send them to a remote server for carrying out further attacks against government-related infrastructure.

The use of Google ads and LimePad points to the threat actor's continued attempts at evolving and refining its tactics and malware toolset.

“APT-36 仍然是最流行的高级持续性威胁组织之一,专注于针对在印度政府组织工作的用户,”辛格说。“印度政府组织内部使用的应用程序是 APT-36 小组使用的社会工程主题的热门选择。”

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...