История
2022: Атака госслужащих Индии с помощью платной рекламы Google
4 ноября 2022 года стало известно, что кибергруппировка Transparent Tribe была связана с новой кампанией, направленной на индийские правительственные организации. Хакеры распространяли троянские версии ПО для двухфакторной аутентификации Kavach.
Эта группировка использует рекламу Google в целях вредоносной рекламы для распространения взломанных версий приложений мультиаутентификации (MFA) Kavach, - сообщил исследователь Zscaler ThreatLabz Судип Сингх в опубликованном анализе. |
Компания по кибербезопасности сообщила, что эта группировка продвинутых хакеров также проводила малочисленные атаки по сбору учетных данных, в ходе которых мошеннические веб-сайты, маскирующиеся под официальные индийские правительственные порталы, создавались для того, чтобы заманить неосторожных пользователей и заставить их ввести свои данные.
Transparent Tribe, также известная под псевдонимами APT36, Operation C-Major и Mythic Leopard, является предполагаемой пакистанской организацией злоумышленников, которая имеет опыт нанесения ударов по индийским и афганским организациям.Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
Kavach (что означает "броня" на хинди) - обязательное приложение, которое требуется пользователям с адресами электронной почты на доменах @gov.in и @nic.in для входа в почтовый сервис в качестве второго уровня аутентификации.
Группировка злоумышленников зарегистрировала несколько новых доменов, на которых размещались веб-страницы, маскирующиеся под официальный портал для загрузки приложения Kavach, - сказал Сингх. Они использовали функцию платного поиска Google Ads, чтобы вывести вредоносные домены в верхние строчки результатов поиска Google для пользователей в Индии. |
Сообщается, что с мая 2022 года Transparent Tribe также распространяла заблокированные версии приложения Kavach через контролируемые злоумышленниками магазины приложений, которые утверждали, что предлагают бесплатную загрузку программного обеспечения.
Этот сайт также всплывал в качестве главного результата в поисковых запросах Google, эффективно действуя как шлюз для перенаправления пользователей, ищущих приложение, на мошеннический установщик на базе .NET. [1]