Gli hacker pakistani noti come Transparent Tribe hanno utilizzato un software di autenticazione a due fattori (2FA) impiegato dalle agenzie governative indiane per diffondere un nuovo backdoor su Linux denominato Poseidon.
Il malware Poseidon e le sue funzionalità
Poseidon è un malware associato a Transparent Tribe, un gruppo di minaccia persistente avanzata conosciuto anche come APT36, Operation C-Major, PROJECTM e Mythic Leopard. Il backdoor è progettato per fornire agli aggressori una vasta gamma di funzionalità per prendere il controllo dei sistemi infetti, tra cui il registro delle digitazioni, cattura schermate, caricamento e download di file e amministrazione remota del sistema.
Transparent Tribe e gli obiettivi in India
Transparent Tribe ha un lungo curriculum di attacchi mirati a organizzazioni governative, militari, appaltatori della difesa e entità educative in India. Il gruppo ha utilizzato ripetutamente versioni trojanizzate di Kavach, il software 2FA obbligatorio per il governo indiano, per distribuire vari tipi di malware come CrimsonRAT e LimePad allo scopo di raccogliere informazioni preziose.
Estensione degli attacchi al di là di Windows e Android
Le recenti campagne di attacco hanno preso di mira gli utenti Linux che lavorano per le agenzie governative indiane, indicando un tentativo da parte del gruppo di minaccia di ampliare il proprio spettro di attacco oltre gli ecosistemi Windows e Android. Il punto di partenza delle infezioni è un campione di malware ELF, un eseguibile Python compilato progettato per recuperare il payload di seconda fase Poseidon da un server remoto.
