Der Bedrohungsakteur Transparent Tribe wurde mit einer neuen Kampagne in Verbindung gebracht, die auf indische Regierungsorganisationen mit trojanisierten Versionen einer Zwei-Faktor-Authentifizierungslösung namens Kavach abzielt.
„Diese Gruppe missbraucht Google-Werbung für Malvertising, um gefälschte Versionen von Kavach-Multi-Authentifizierungsanwendungen (MFA) zu verbreiten“, so Zscaler ThreatLabz-Forscher Sudeep Singh in einer Analyse vom Donnerstag.
Das Cybersicherheitsunternehmen erklärte, dass die Gruppe der fortgeschrittenen, hartnäckigen Bedrohungen auch Angriffe mit geringem Umfang durchgeführt hat, bei denen betrügerische Websites, die sich als offizielle indische Regierungswebsites ausgaben, ahnungslose Nutzer zur Eingabe ihrer Passwörter verleiteten.
Transparent Tribe, auch bekannt unter den Namen APT36, Operation C-Major und Mythic Leopard, ist ein mutmaßliches pakistanisches Angreiferkollektiv, das in der Vergangenheit bereits Angriffe auf indische und afghanische Einrichtungen durchgeführt hat.
Die jüngste Angriffskette ist nicht das erste Mal, dass der Bedrohungsakteur Kavach (was auf Hindi „Rüstung“ bedeutet) ins Visier genommen hat. Kavach ist eine obligatorische App, die von Nutzern mit E-Mail-Adressen auf den Domains @gov.in und @nic.in benötigt wird, um sich als zweite Authentifizierungsebene bei dem E-Mail-Dienst anzumelden.
Anfang März dieses Jahres deckte Cisco Talos eine Hackerkampagne auf, bei der gefälschte Windows-Installationsprogramme für Kavach als Köder eingesetzt wurden, um Regierungsmitarbeiter mit CrimsonRAT und anderen Artefakten zu infizieren.
Eine gängige Taktik der Angreifer ist es, sich als legitime Regierungs-, Militär- und ähnliche Organisationen auszugeben, um die Killchain zu aktivieren. Die jüngste Kampagne des Bedrohungsakteurs ist da keine Ausnahme.
„Der Bedrohungsakteur hat mehrere neue Domains registriert, auf denen Webseiten gehostet werden, die sich als offizielles Downloadportal für die Kavach-App ausgeben“, so Singh. „Sie missbrauchten die bezahlte Suchfunktion von Google Ads, um die bösartigen Domains an die Spitze der Google-Suchergebnisse für Nutzer in Indien zu bringen.
Seit Mai 2022 soll Transparent Tribe außerdem gefälschte Versionen der Kavach-App über von Angreifern kontrollierte Application Stores verbreitet haben, die vorgeben, kostenlose Software-Downloads anzubieten.
Diese Website taucht auch als Top-Ergebnis in der Google-Suche auf und fungiert als Tor, um Nutzer, die nach der App suchen, zu dem .NET-basierten betrügerischen Installationsprogramm umzuleiten.
Seit August 2022 wurde die Gruppe auch dabei beobachtet, wie sie ein bisher nicht dokumentiertes Datenexfiltrationstool mit dem Codenamen LimePad verwendete, das dazu dient, interessante Dateien von dem infizierten Host auf den Server des Angreifers hochzuladen.
Zscaler hat nach eigenen Angaben auch eine von Transparent Tribe registrierte Domain identifiziert, die die Anmeldeseite der Kavach-App gefälscht hat und nur von einer indischen IP-Adresse aus angezeigt wurde oder den Besucher auf die Homepage des indischen National Informatics Centre (NIC) umleitete.
Die Seite ist ihrerseits so ausgestattet, dass sie die vom Opfer eingegebenen Anmeldedaten abfängt und an einen entfernten Server sendet, um weitere Angriffe auf regierungsnahe Infrastrukturen durchzuführen.
Die Verwendung von Google-Anzeigen und LimePad deutet darauf hin, dass der Bedrohungsakteur seine Taktik und sein Malware-Toolset ständig weiterentwickelt und verfeinert.
„APT-36 ist nach wie vor eine der am weitesten verbreiteten fortgeschrittenen Bedrohungsgruppen, die es auf Nutzer abgesehen hat, die in indischen Regierungsorganisationen arbeiten“, so Singh. „Anwendungen, die intern in indischen Regierungsorganisationen genutzt werden, sind ein beliebtes Social-Engineering-Thema für die APT-36-Gruppe“.