研究人员详细介绍了针对印度政府雇员的新恶意软件活动

透明部落威胁行为者与一项针对印度政府组织的新运动有关，该运动采用了一种名为卡瓦奇。

Zscaler ThreadLabz研究人员Sudeep Singh在周四的一份分析中表示：“该组织滥用谷歌广告，目的是恶意发布Kavach多重认证（MFA）应用程序的后门版本”。

这家网络安全公司表示，这一高级持续威胁组织还进行了低容量的凭据获取攻击，其中伪装成印度政府官方门户的流氓网站被用来引诱不知情的用户输入密码。

透明部落（Transparent Tribe），又名APT36、C-Major行动和神秘豹，是一个疑似巴基斯坦敌对团体，有打击印度和阿富汗实体的历史。

最新的攻击链并不是威胁行为体第一次将目光投向Kavach（印地语中的“铠甲”），这是一个强制应用程序，电子邮件地址位于@gov.in和@nic.in域的用户需要登录电子邮件服务，作为第二层认证。

今年3月早些时候，思科Talos发现了一场黑客活动，该活动为Kavach雇佣了假Windows安装程序，作为诱饵，用CrimsonRAT和其他人工制品感染政府人员。

他们常用的策略之一是模仿合法的政府、军队和相关组织来激活杀戮链。威胁行为者最近进行的活动也不例外。

辛格说：“威胁行为人注册了多个新域名，这些域名伪装成官方Kavach应用程序下载门户网站”。“他们滥用谷歌广告的付费搜索功能，将恶意域名推上印度用户的谷歌搜索结果榜首”。

自2022年5月以来，据说Transparent Tribe还通过声称提供免费软件下载的攻击者控制的应用商店分发了Kavach应用程序的后门版本。

该网站也成为谷歌搜索的热门搜索结果，有效地充当了一个网关，将寻找该应用程序的用户重定向到基于.NET的欺诈安装程序。

从2022年8月开始，人们还观察到该组织使用了一个以前未记录的数据过滤工具LimePad，该工具被设计为将感兴趣的文件从受感染的主机上传到攻击者的服务器。

Zscaler还表示；识别了Transparent Tribe注册的域名，欺骗了Kavach应用程序的登录页面，该页面仅在从印度IP地址访问时显示，或者将访问者重定向到印度国家信息中心（NIC）的主页。

就其本身而言，该页面能够捕获受害者输入的凭据，并将其发送到远程服务器，以便对政府相关基础设施进行进一步攻击。

谷歌广告和LimePad的使用表明，威胁行为体不断尝试改进其策略和恶意软件工具集。

辛格说：“APT-36仍然是最流行的高级持续威胁团体之一，主要针对在印度政府机构工作的用户”。“在印度政府机构内部使用的应用程序是APT-36小组使用的社会工程主题的热门选择”。