研究人员警告针对印度政府官员的 Kavach 2FA 网络钓鱼攻击

一项新的有针对性的网络钓鱼活动已将注意力集中在印度政府官员使用的名为Kavach的双因素身份验证解决方案上。

网络安全公司 Securonix 将此次活动命名为STEPPY#KAVACH，根据与先前攻击的战术重叠，将其归因于名为 SideCopy 的威胁行为者。

“.LNK 文件用于启动代码执行，最终下载并运行恶意 C# 有效负载，其功能类似于远程访问木马 (RAT)，”Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov在一份新报告中表示。

SideCopy 是一个据信来自巴基斯坦的黑客团队，至少从 2019 年开始活跃，据说与另一个名为Transparent Tribe（又名 APT36 或 Mythic Leopard）的演员有联系。

众所周知，它还模仿 SideWinder 利用的攻击链，SideWinder是一个多产的民族国家组织，不成比例地挑出巴基斯坦的军事实体，以部署自己的工具集。

也就是说，这并不是 Kavach 第一次成为演员的目标。2021 年 7 月，Cisco Talos 详细介绍了一项窃取印度政府雇员凭证的间谍活动。

自今年年初以来，以 Kavach 为主题的诱饵应用程序已被 Transparent Tribe 用于针对印度的攻击。

Securonix 在过去几周观察到的最新攻击序列需要使用网络钓鱼电子邮件引诱潜在受害者打开快捷方式文件 (.LNK)，以使用mshta.exe Windows 实用程序执行远程 .HTA 负载。

该公司表示，该 HTML 应用程序“被发现托管在一个可能遭到入侵的网站上，嵌套在一个不起眼的‘画廊’目录中，该目录旨在存储该网站的一些图像。”

受感染的网站是 incometaxdelhi[.]org，它是印度德里地区所得税部门的官方网站。门户网站上不再提供恶意文件。

在下一阶段，运行 .HTA 文件会导致执行混淆的 JavaScript 代码，该代码旨在显示诱饵图像文件，该文件包含印度国防部一年前 2021 年 12 月的公告。

JavaScript 代码进一步从远程服务器下载可执行文件，通过 Windows 注册表修改建立持久性，并重新启动机器以在启动后自动启动二进制文件。

就其本身而言，二进制文件充当后门，使威胁参与者能够执行从攻击者控制的域发送的命令、获取和运行其他有效负载、截取屏幕截图以及泄露文件。

渗出组件还包括一个选项，用于专门搜索 Kavach 应用程序在系统上创建的数据库文件（“kavach.db”）以存储凭据。

值得注意的是，上述感染链是由MalwareHunterTeam在2022年12月8日的一系列推文中披露的，将远程访问木马描述为MargulasRAT。

研究人员说：“根据从威胁行为者使用的 RAT 获得的二进制样本的相关数据，该活动一直在针对去年未被发现的印度目标进行。”