El actor de amenazas persistentes avanzadas (APT) con sede en Pakistán conocido como Transparent Tribe utilizó una herramienta de autenticación de dos factores (2FA) utilizada por las agencias gubernamentales indias como una artimaña para entregar un nuevo backdoor Linux llamado Poseidon.
“Poseidon es un malware de carga útil de segunda fase asociado a Transparent Tribe”, explica Tejaswini Sandapolla, investigador de seguridad de Uptycs, en un informe técnico publicado esta semana.
“Es una puerta trasera de propósito general que proporciona a los atacantes una amplia gama de capacidades para secuestrar un host infectado. Sus funcionalidades incluyen el registro de pulsaciones de teclas, la realización de capturas de pantalla, la carga y descarga de archivos y la administración remota del sistema de diversas formas.”
Transparent Tribe también es rastreado como APT36, Operation C-Major, PROJECTM y Mythic Leopard, y tiene un historial de ataques contra organizaciones gubernamentales indias, personal militar, contratistas de defensa y entidades educativas.
También ha utilizado en repetidas ocasiones versiones troyanizadas de Kavach, el software 2FA exigido por el gobierno indio, para desplegar diversos programas maliciosos, como CrimsonRAT y LimePad, con el fin de recopilar información valiosa.
Otra campaña de phishing detectada a finales del año pasado se aprovechaba de adjuntos armados para descargar malware diseñado para exfiltrar archivos de bases de datos creados por la aplicación Kavach.
El último conjunto de ataques implica el uso de una versión backdoored de Kavach para atacar a usuarios de Linux que trabajan para agencias gubernamentales indias, lo que indica los intentos realizados por el actor de la amenaza para ampliar su espectro de ataque más allá de los ecosistemas Windows y Android.
El punto de partida de las infecciones es una muestra de malware ELF, un ejecutable Python compilado que está diseñado para recuperar la carga útil Poseidon de segunda etapa desde un servidor remoto.
La empresa de ciberseguridad señaló que las falsas aplicaciones Kavach se distribuyen principalmente a través de sitios web falsos que se disfrazan como sitios legítimos del gobierno indio. Esto incluye www.ksboard[.]in y www.rodra[.]in.
Dado que la ingeniería social es el principal vector de ataque utilizado por Transparent Tribe, se recomienda a los usuarios que trabajan en el gobierno indio que comprueben dos veces las URL recibidas en correos electrónicos antes de abrirlos.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian