O grupo hacker conhecido como Transparent Tribe usou uma ferramenta de autenticação de dois fatores (2FA) usada por agências governamentais indianas. Esta foi uma forma de fornecer um novo backdoor do Linux chamado Poseidon. Então, hackers do Paquistão usam Malware Poseidon no Linux.
“Poseidon é um malware de carga útil de segundo estágio associado ao Transparent Tribe”, disse Tejaswini Sandapolla, pesquisador de segurança da Uptycs, em um relatório técnico publicado esta semana.
“É um backdoor de uso geral que fornece aos invasores uma ampla gama de recursos para sequestrar um host infectado. Suas funcionalidades incluem registro de pressionamentos de tecla, captura de tela, upload e download de arquivos e administração remota do sistema de várias maneiras.”
Transparent Tribe também é rastreado como APT36, Operation C-Major, PROJECTM e Mythic Leopard, e tem um histórico de visar organizações governamentais indianas, militares, empreiteiros de defesa e entidades educacionais.
Ele também aproveitou repetidamente versões trojanizadas do Kavach, o software 2FA exigido pelo governo indiano, para implantar uma variedade de malware, como CrimsonRAT e LimePad , para coletar informações valiosas.
Outra campanha de phishing detectada no final do ano passado aproveitou anexos armados para baixar malware projetado para exfiltrar arquivos de banco de dados criados pelo aplicativo Kavach.
Hackers do Paquistão usam Malware Poseidon no Linux
O último conjunto de ataques envolve o uso de uma versão backdoor do Kavach para atingir usuários do Linux que trabalham para agências governamentais indianas, indicando tentativas feitas pelo agente da ameaça de expandir seu espectro de ataque além dos ecossistemas Windows e Android.
“Quando um usuário interage com a versão maliciosa do Kavach, a página de login genuína é exibida para distraí-lo”, explicou Sandapolla. “Enquanto isso, a carga útil é baixada em segundo plano, comprometendo o sistema do usuário.”
O ponto de partida das infecções é uma amostra de malware ELF , um executável Python compilado projetado para recuperar a carga útil de segundo estágio do Poseidon de um servidor remoto.
A empresa de segurança cibernética observou que os aplicativos Kavach falsos são distribuídos principalmente por meio de sites desonestos disfarçados de sites legítimos do governo indiano. Isso inclui www.ksboard[.]in e www.rodra[.]in.
Com a engenharia social sendo o principal vetor de ataque usado pelo Transparent Tribe, os usuários que trabalham no governo indiano são aconselhados a verificar novamente os URLs recebidos em e-mails antes de abri-los.
“As repercussões desse ataque APT36 podem ser significativas, levando à perda de informações confidenciais, sistemas comprometidos, perdas financeiras e danos à reputação”, disse Sandapolla.