印度政府系统遭受攻击：黑客部署虚假快捷方式文件

与巴基斯坦有关联的黑客组织透明部落 (APT36) 因针对印度政府机构发起新的网络攻击活动而再次成为人们关注的焦点。

网络安全公司 CYFIRMA 的研究人员发现了一项针对印度政府机构的新网络间谍活动，攻击者将恶意桌面快捷方式文件伪装成无害的 PDF 文档，在后台秘密安装恶意软件。

攻击如何进行

据 CYFIRMA 称，该活动从网络钓鱼电子邮件开始，这些电子邮件似乎带有正式会议邀请，其文件名为“Meeting_Ltr_ID1543ops.pdf.desktop”。受害者点击看似无害文档的附​​件后，不会打开 PDF，而是在不知不觉中运行恶意快捷方式文件，该文件会在后台安装间谍软件。

该文件从攻击者控制的服务器（例如 securestore[.]cv 和 modgovindia[.]space）下载恶意软件负载，并将其安装在后台。为了避免怀疑，托管在 Google Drive 上的诱饵 PDF 在 Firefox 中打开，欺骗受害者也相信他们只是打开了会议文档。

有关的：谷歌确认 Salesforce 在 ShinyHunters 攻击中发生数据泄露

一旦进入系统，用 Go 编程语言编写的恶意软件就可以窃取敏感数据、获取登录凭据、实现长期访问，并且通过设置自动化任务即使在重新启动后也能保持活动状态。

CYFIRMA 表示：“APT36 能够根据受害者的操作环境定制其交付机制，从而增加其成功的机会，同时保持对关键政府基础设施的持续访问并逃避传统的安全控制。”在一篇研究博客文章中写道。

与早期的行动不同，此次活动除了 Windows 系统外，还专门针对印度基于 Linux 的系统进行攻击，例如 BOSS（Bharat 操作系统解决方案）——一种政府支持的操作系统。

为了保持持久性，恶意软​​件添加了一个 cron 作业，每次系统重新启动时都会运行隐藏的有效负载“.config/systemd/systemd-update”，确保它即使在关闭或进程终止后也保持活动状态。

由于BOSS广泛应用于政府部门，这种双平台攻击增加了黑客的成功机会。

为什么这很重要

安全专家警告称，Transparent Tribe 不断发展的策略现已从传统使用 Windows 恶意软件转向开发针对 Linux BOSS 的威胁。

CYFIRMA 表示：“采用针对 Linux BOSS 的 .desktop 有效负载反映了向利用本土技术的战术转变。与传统的基于 Windows 的恶意软件和移动植入相结合，这表明该组织意图使访问向量多样化，并确保即使在强化环境中也能持久存在。”

雪上加霜的是，该组织还运营模仿印度政府门户网站的凭据收集网站。虚假登录页面诱骗受害者交出电子邮件、密码，甚至 Kavach 双因素身份验证 (2FA) 代码（这是印度机构自 2022 年以来使用的安全措施）。通过绕过此安全层，攻击者可以获得对敏感帐户的完全访问权限。

长期威胁 

透明部落据信在巴基斯坦开展活动，十多年来一直活跃，经常针对印度政府、国防和关键基础设施组织。他们的策略不断演变——从简单的基于 Windows 的恶意软件到高度定制的 Linux 后门以及遍布南亚的凭证盗窃计划。

建议和缓解措施

安全研究人员建议政府雇员谨慎处理电子邮件附件和登录页面，因为伪装的 PDF 和虚假门户被用来诱骗用户放弃其凭据。

为了对抗 APT36 通过武器化 .desktop 文件针对印度政府实体的活动，建议各机构部署强大的电子邮件安全、定期进行用户培训，并通过最低权限控制强化 BOSS Linux。端点检测、网络监控以及 IOC/YARA 规则的集成将有助于早期检测，而及时修补和基于行为的控制对于阻止可疑活动至关重要。

更大的图景

该事件凸显了 APT 组织针对政府基础设施造成的国家安全风险。如果成功，此类攻击可能会导致机密数据被盗、关键业务中断，并可能导致对印度机构的长期监视。随着透明部落不断改进其方法，印度在保护敏感基础设施免受网络间谍活动方面面临着越来越大的挑战。