ملفات اجتماعات وهمية تستخدم في حملة التجسس الإلكتروني ضد الهند

تم العثور على هاكرز APT36 من باكستان يستخدمون ملفات اختصار مسلحة والتصيد الإلكتروني والبرامج الخبيثة وسرقة الـ 2FA لمهاجمة أنظمة لينكس BOSS في الهند.

بدأت مجموعة القراصنة الباكستانية المعروفة بـ APT36 والمشهورة أيضًا باسم القبيلة الشفافة عملية جديدة للتجسس الإلكتروني ضد أنظمة الحكومة الهندية، وفقًا للبحث الذي أجرته CYFIRMA.

لقد أنشأت المجموعة برنامجًا ضارًا مصممًا لنظام التشغيل BOSS Linux الذي يستخدم في الهند، مما يدل على قدرتهم المتزايدة على التكيف مع بيئات مختلفة.

تبدأ الهجمة برسائل البريد الإلكتروني المحتالة التي تحتوي على ملف يحمل الاسم “Meeting_Notice_Ltr_ID1543ops.pdf_.zip.” عند فتحه، يظهر ملف اختصار وهمي يسمى “Meeting_Ltr_ID1543ops.pdf.desktop.” بالرغم من أنه يبدو كملف PDF غير ضار، إلا أن الملف مبرمج لتنزيل برنامج خبيث بشكل سري.

“الملف ‘.desktop’ المعروض مصمم ليتنكر كاختصار PDF عادي، لكنه يحتوي على سلسلة من الأوامر المدمجة في خط Exec= التي يتم تنفيذها تلقائيا وبتسلسل فور بدء تشغيل الملف. هذا يتيح للمهاجم إجراء عمليات خفية بينما يظل الضحية غير مدرك”، كما أوضح الباحثون.

يستخدم البرنامج الضار طرق خداعية للبقاء غير مكتشف عن طريق فتح PDF حقيقي في فايرفوكس مما يجعل المستخدمين يعتقدون أنه لم يحدث شيء مشبوه.

يعمل البرنامج المخفي في وضع التخفي، ويسرق البيانات، ويضبط نفسه ليعيد التشغيل في كل مرة يتم فيها تشغيل الكمبيوتر.

ان البرامج الضارة التي اكتشفها CYFIRMA تتصل بنطاقين تم تسجيلهما حديثًا “securestore[.]cv” و “modgovindia[.]space” الذين يعملان كخوادم للتحكم والأوامر للهاكرز. من خلال هذه الخوادم، يمكن للمتسللين إرسال الأوامر والحصول على البيانات المسروقة مع الحفاظ على وصولهم إلى شبكات الحكومة.

تقول شركة CYFIRMA إن APT36 يعمل كمجموعة مدعومة من الدولة وهي نشطة منذ أكثر من عشر سنوات، وهدفها الرئيسي هو المؤسسات الحكومية الهندية بالإضافة إلى المنظمات العسكرية والدبلوماسية.

أخبار الهاكر تفيد بأن هذه الحملة تظهر تطورًا متزايدًا في تعقيد APT36. بالإضافة إلى استهداف Linux BOSS، طورت المجموعة أيضًا برامج ضارة لنظام ويندوز في نفس الحملة، مما يدل على نهج ثنائي النظام.

يقوم الرمز الخبيث بإجراء استطلاع للنظام أثناء تنفيذ فحوصات مكافحة التصحيح ومكافحة الرمل الوهمية لتجنب الكشف عنه، وفقًا لما ذكرته CloudSEK. أدت الهجمات إلى نشر باب الخلفي للقبيلة الشفافة Poseidon، الذي يتيح للمهاجمين سرقة بيانات الاعتماد، وإجراء الرصد طويل الأمد، وكذلك الحركة الجانبية للشبكة داخل شبكات الحكومة، كما أفاد الباحثون في Hunt.io.

تلاحظ Hacker News أن هذا النشاط يأتي بعد فترة وجيزة من إلقاء القبض على القبيلة الشفافة وهي تستهدف منظمات الدفاع الهندية من خلال بوابات تسجيل الدخول المزيفة المصممة لسرقة بيانات الاعتماد وحتى Kavach، نظام المصادقة ثنائي العوامل (2FA) الخاص بالحكومة الهندية.

الضحايا الذين يدخلون بريدهم الإلكتروني وأكواد Kavach على المواقع الاحتيالية يسلمون بدون قصد بيانات الدخول مباشرة إلى المهاجمين.

لاحظت CYFIRMA: “قدرة APT36 على تخصيص آليات التسليم الخاصة بها وفقًا لبيئة تشغيل الضحية، وبالتالي يزيد فرص نجاحها بينما تحافظ على الوصول المستمر إلى البنية التحتية الحكومية الحيوية وتتجنب ضوابط الأمان التقليدية.

حذرت CYFIRMA بأن “التحليل يشير إلى حملة تجسس إلكتروني مُنسقة يُنسب إلى APT36، تستغل الملفات المسلحة بصيغة .desktop لاستهداف بيئات BOSS Linux داخل كيانات الحكومة الهندية.”