08.11.2022 | Хакеры атакуют госслужащих Индии с помощью платной рекламы Google |
Согласно новому отчету Zscaler ThreatLabz, APT -группа Transparent Tribe (APT-36) проводит новую фишинговую кампанию, нацеленную на индийские правительственные организации. Используя рекламу Google, киберпреступники распространяют вредоносную рекламу для заражения жертв троянизированной версией приложения аутентификации Kavach. Также APT-группа создала мошеннические веб-сайты, маскирующиеся под официальные порталы правительства Индии, чтобы собрать учетные данные жертв. Продвигаемая реклама Kavach Transparent Tribe (APT-36, Operation C-Major и Mythic Leopard) является предположительно пакистанской APT-группой, которая в 2020 году проводила атаки в 27 странах , в том числе на индийские и афганские организации . Kavach – обязательное приложение , которое требуется пользователям с email-адресами в доменах «@gov.in» и «@nic.in» для входа в службу электронной почты в качестве второго уровня аутентификации. В ходе обнаруженной кампании злоумышленники зарегистрировали несколько новых доменов, на которых размещены веб-страницы, маскирующиеся под официальный портал загрузки приложения Kavach. Они использовали функцию платного поиска Google Ads, чтобы вывести вредоносные домены на первое место в результатах поиска Google для пользователей в Индии. Цепочка атак Transparent Tribe Также сообщается, что с мая 2022 года Transparent Tribe распространяет бесплатные версии приложения Kavach с бэкдором через магазины приложений, контролируемые хакерами. Эти магазины также занимают первое место в результатах поиска Google, выступая в качестве шлюза для перенаправления пользователей на вредоносный установщик на основе .NET. Кроме того, с августа 2022 года группа использует ранее незадокументированный инструмент для эксфильтрации данных под кодовым названием LimePad, который предназначен для загрузки файлов с зараженного хоста на сервер злоумышленника. Transparent Tribe также создали фишинговый домен, имитирующий страницу входа в приложение Kavach, которая отображалась только для индийских IP-адресов или перенаправляла посетителя на домашнюю страницу Национального центра информатики Индии (NIC). Страница предназначена для захвата введённых учетных данных жертвы и отправки их на удаленный сервер для проведения дальнейших атак на государственную инфраструктуру. |
Проверить безопасность сайта