L’attore delle minacce Transparent Tribe è stato collegato a una nuova campagna rivolta alle organizzazioni governative indiane con versioni troianizzate di una soluzione di autenticazione a due fattori chiamata Kavach. “Questo gruppo abusa degli annunci pubblicitari di Google a scopo di malvertising per distribuire versioni retrodatate delle applicazioni di autenticazione multipla (MFA) Kavach”, ha dichiarato il ricercatore di Zscaler ThreatLabz Sudeep Singh in un’analisi di giovedì. L’azienda di cybersicurezza ha dichiarato che il gruppo di minacce persistenti avanzate ha anche condotto attacchi di credential harvesting a basso volume, in cui sono stati creati siti web rogue mascherati da portali ufficiali del governo indiano per attirare gli utenti inconsapevoli a inserire le loro password. Transparent Tribe, noto anche con i moniker APT36, Operation C-Major e Mythic Leopard, è un sospetto collettivo di avversari pakistani che in passato ha colpito entità indiane e afghane.
L’ultima catena di attacchi non è la prima volta che l’attore delle minacce ha messo gli occhi su Kavach (che significa “armatura” in hindi), un’applicazione obbligatoria richiesta dagli utenti con indirizzi e-mail sui domini @gov.in e @nic.in per accedere al servizio e-mail come secondo livello di autenticazione. All’inizio di marzo, Cisco Talos ha scoperto una campagna di hacking che utilizzava falsi programmi di installazione di Windows per Kavach come esca per infettare il personale governativo con CrimsonRAT e altri artefatti. Una delle loro tattiche comuni è l’imitazione di organizzazioni governative, militari e affini legittime per attivare la killchain. L’ultima campagna condotta dall’attore delle minacce non fa eccezione. “L’attore delle minacce ha registrato diversi nuovi domini che ospitano pagine web mascherate da portale ufficiale per il download dell’app Kavach”, ha detto Singh. “Hanno abusato della funzione di ricerca a pagamento di Google Ads per spingere i domini dannosi in cima ai risultati di ricerca di Google per gli utenti in India”.
Dal maggio 2022, Transparent Tribe avrebbe anche distribuito versioni retrodatate dell’applicazione Kavach attraverso negozi di applicazioni controllati dagli aggressori che affermano di offrire il download gratuito di software. Questo sito web è anche apparso tra i primi risultati delle ricerche su Google, agendo di fatto come un gateway per reindirizzare gli utenti che cercano l’app al programma di installazione fraudolento basato su .NET.
Il gruppo, a partire dall’agosto 2022, è stato osservato anche nell’utilizzo di uno strumento di esfiltrazione dei dati precedentemente non documentato con il nome in codice di LimePad, progettato per caricare i file di interesse dall’host infetto al server dell’attaccante. Zscaler ha dichiarato di aver identificato anche un dominio registrato da Transparent Tribe che effettuava lo spoofing della pagina di login dell’app Kavach, visualizzata solo quando si accedeva da un indirizzo IP indiano, oppure reindirizzava il visitatore alla home page del National Informatics Centre (NIC) indiano. La pagina, da parte sua, è attrezzata per catturare le credenziali inserite dalla vittima e inviarle a un server remoto per effettuare ulteriori attacchi contro le infrastrutture governative. L’uso di annunci Google e di LimePad indica i continui tentativi dell’attore della minaccia di evolvere e perfezionare le proprie tattiche e il proprio set di strumenti malware. “L’APT-36 continua a essere uno dei gruppi di minacce persistenti avanzate più diffusi, focalizzato sul colpire gli utenti che lavorano nelle organizzazioni governative indiane”, ha dichiarato Singh. “Le applicazioni utilizzate internamente alle organizzazioni governative indiane sono una scelta popolare di temi di social engineering utilizzati dal gruppo APT-36”.
