关键词
印度政府近期成为黑客组织Transparent Tribe(APT36)的攻击目标。网络安全公司 CYFIRMA 披露,该组织通过钓鱼邮件投递带有恶意代码的桌面快捷方式文件,不仅瞄准 Windows 系统,还专门针对印度自主研发的BOSS Linux系统。这些文件伪装成普通 PDF 文档,一旦受害者点击,就会执行隐藏的恶意脚本。
APT36 被普遍认为源自巴基斯坦,其分支 SideCopy 也长期活跃在针对印度政府机构的攻击中,利用多种远程控制木马(RAT)窃取数据。此次攻击展示了该组织跨平台的能力,进一步扩大了渗透范围,并提升了其在受害系统中维持持久访问的可能性。
在具体攻击链中,受害者最初收到看似会议通知的钓鱼邮件,邮件附件名为 “Meeting_Ltr_ID1543ops.pdf.desktop”。打开后,文件会启动脚本,从黑客控制的服务器下载并解码一个 ELF 二进制程序,同时在 Firefox 浏览器中打开一个托管在 Google Drive 上的伪装 PDF 以降低怀疑。下载的二进制文件由 Go 语言编写,会与远程命令与控制(C2)服务器建立连接,执行黑客指令、下载后续载荷并窃取信息。为了保证持久性,恶意程序还会通过 cron 任务在系统重启后自动运行。
另一家安全公司 CloudSEK 也证实了该活动,并指出恶意软件具备环境检测和反调试功能,能够迷惑分析工具。安全平台 Hunt.io 的研究进一步显示,此次攻击与Poseidon后门有关,该后门不仅能进行系统侦察和凭证窃取,还可能帮助攻击者在网络中横向移动,扩大控制范围。
安全研究人员指出,APT36 具备根据目标操作系统灵活调整投递方式的能力,这使他们更容易绕过传统安全防护,并在关键政府网络中长期潜伏。就在数周前,Transparent Tribe 还被发现通过伪造网站诱骗印度防务相关人员输入邮箱密码与双因素认证(2FA)验证码,特别是针对印度政府常用的Kavach认证系统。自 2022 年以来,该组织多次利用类似手法获取凭证。
此外,研究还揭示了 APT36 使用与官方极为相似的域名,并将基础设施搭建在巴基斯坦服务器上,以增加迷惑性。这一行动与该组织一贯的战术、技术和程序高度吻合。与此同时,另一支南亚地区的黑客组织 SideWinder 也被发现使用钓鱼邮件,攻击印度周边国家及土耳其,目标同样是窃取登录凭证。他们伪装成政府机构邮件或文件传输平台,引导受害者在仿冒的登录界面中输入账号信息。
整体来看,这些攻击反映出南亚地区高级威胁组织的持续活跃,也凸显了印度及周边国家政府机构在网络安全上的巨大压力。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴