Arquivos Falsos de Reuniões Utilizados em Campanha de Espionagem Cibernética Contra a Índia

Hackers do APT36 do Paquistão foram encontrados usando arquivos de atalho armados, phishing, malware e roubo de 2FA para atacar sistemas BOSS Linux na Índia.

O grupo de hackers baseado no Paquistão, APT36, também conhecido como Transparent Tribe, iniciou uma nova operação de ciberespionagem contra os sistemas do governo indiano, de acordo com a pesquisa da CYFIRMA.

O grupo criou um malware projetado para o sistema operacional BOSS Linux da Índia, demonstrando sua crescente capacidade de se adaptar a diferentes ambientes.

O ataque começa com e-mails de spear phishing contendo um arquivo chamado “Meeting_Notice_Ltr_ID1543ops.pdf_.zip”. Uma vez aberto, ele revela um falso arquivo de atalho chamado “Meeting_Ltr_ID1543ops.pdf.desktop”. Embora pareça um PDF inofensivo, o arquivo está programado para baixar secretamente um software malicioso.

“O arquivo ‘.desktop’ mostrado é criado para se disfarçar como um atalho de PDF comum, mas contém uma cadeia de comandos embutidos em sua linha Exec= que são executados automaticamente e sequencialmente assim que o arquivo é lançado. Isso permite ao invasor realizar ações secretas mantendo a vítima inconsciente,” explicaram os pesquisadores.

O malware emprega métodos enganosos para permanecer indetectado, abrindo um PDF genuíno no Firefox, o que faz os usuários acreditarem que nada suspeito ocorreu.

O programa oculto opera em modo furtivo, roubando dados, e se configura para reiniciar toda vez que o computador é ligado.

Os arquivos maliciosos descobertos pela CYFIRMA se conectam a dois domínios recém-registrados “securestore[.]cv” e “modgovindia[.]space”, que servem como servidores de comando e controle para os atacantes. Por meio desses servidores, os hackers podem transmitir comandos e obter dados roubados, mantendo seu acesso às redes governamentais.

A CYFIRMA diz que a APT36 opera como um grupo patrocinado pelo estado que tem estado ativo por mais de dez anos, visando principalmente instituições governamentais indianas, junto com organizações militares e diplomáticas.

Hacker News relata que esta campanha mostra a crescente sofisticação da APT36. Além de visar o Linux BOSS, o grupo também desenvolveu malware para Windows na mesma campanha, demonstrando uma abordagem de dupla plataforma.

O código malicioso realiza reconhecimento de sistema enquanto executa falsas verificações anti-depuração e anti-sandbox para evitar detecção, de acordo com o CloudSEK. Os ataques resultaram na implantação do backdoor da Transparent Tribe, o Poseidon, que permite aos invasores roubar credenciais e realizar vigilância de longo prazo, bem como movimento lateral de rede dentro de redes governamentais, conforme relatado por pesquisadores do Hunt.io.

O Hacker News nota que a atividade ocorre pouco depois da Transparent Tribe ter sido pega visando organizações de defesa indianas através de portais de login falsificados projetados para roubar credenciais e até mesmo o Kavach, o sistema de autenticação de dois fatores (2FA) do governo indiano.

Vítimas que inserem seu e-mail e códigos Kavach nos sites de phishing inadvertidamente entregam seus dados de login diretamente aos atacantes.

CYFIRMA observou: “A capacidade do APT36 de personalizar seus mecanismos de entrega de acordo com o ambiente operacional da vítima aumenta suas chances de sucesso, enquanto mantém acesso persistente à infraestrutura governamental crítica e evita controles de segurança tradicionais.

A CYFIRMA alertou que “a análise indica uma campanha coordenada de ciberespionagem atribuída ao APT36, aproveitando arquivos .desktop armados para atingir ambientes BOSS Linux dentro das entidades do governo indiano.”