印度政府系統遭受攻擊：黑客部署虛假快捷方式文件

與巴基斯坦有關聯的黑客組織透明部落 (APT36) 因針對印度政府機構發起新的網絡攻擊活動而再次成為人們關注的焦點。

網絡安全公司 CYFIRMA 的研究人員發現了一項針對印度政府機構的新網絡間諜活動，攻擊者將惡意桌面快捷方式文件偽裝成無害的 PDF 文檔，在後台秘密安裝惡意軟件。

攻擊如何進行

據 CYFIRMA 稱，該活動從網絡釣魚電子郵件開始，這些電子郵件似乎帶有正式會議邀請，其文件名為“Meeting_Ltr_ID1543ops.pdf.desktop”。受害者點擊看似無害文檔的附​​件後，不會打開 PDF，而是在不知不覺中運行惡意快捷方式文件，該文件會在後台安裝間諜軟件。

該文件從攻擊者控制的服務器（例如 securestore[.]cv 和 modgovindia[.]space）下載惡意軟件負載，並將其安裝在後台。為了避免懷疑，託管在 Google Drive 上的誘餌 PDF 在 Firefox 中打開，欺騙受害者也相信他們只是打開了會議文檔。

一旦進入系統，用 Go 編程語言編寫的惡意軟件就可以竊取敏感數據、獲取登錄憑據、實現長期訪問，並且通過設置自動化任務即使在重新啟動後也能保持活動狀態。

CYFIRMA 表示：“APT36 能夠根據受害者的操作環境定制其交付機制，從而增加其成功的機會，同時保持對關鍵政府基礎設施的持續訪問並逃避傳統的安全控制。”在一篇研究博客文章中寫道。

與早期的行動不同，此次活動除了 Windows 系統外，還專門針對印度基於 Linux 的系統進行攻擊，例如 BOSS（Bharat 操作系統解決方案）——一種政府支持的操作系統。

為了保持持久性，惡意軟​​件添加了一個 cron 作業，每次系統重新啟動時都會運行隱藏的有效負載“.config/systemd/systemd-update”，確保它即使在關閉或進程終止後也保持活動狀態。

由於BOSS廣泛應用於政府部門，這種雙平台攻擊增加了黑客的成功機會。

為什麼這很重要

安全專家警告稱，Transparent Tribe 不斷發展的策略現已從傳統使用 Windows 惡意軟件轉向開發針對 Linux BOSS 的威脅。

CYFIRMA 表示：“採用針對 Linux BOSS 的 .desktop 有效負載反映了向利用本土技術的戰術轉變。與傳統的基於 Windows 的惡意軟件和移動植入相結合，這表明該組織意圖使訪問向量多樣化，並確保即使在強化環境中也能持久存在。”

雪上加霜的是，該組織還運營模仿印度政府門戶網站的憑據收集網站。虛假登錄頁面誘騙受害者交出電子郵件、密碼，甚至 Kavach 雙因素身份驗證 (2FA) 代碼（這是印度機構自 2022 年以來使用的安全措施）。通過繞過此安全層，攻擊者可以獲得對敏感帳戶的完全訪問權限。

長期威脅 

透明部落據信在巴基斯坦開展活動，十多年來一直活躍，經常針對印度政府、國防和關鍵基礎設施組織。他們的策略不斷演變——從簡單的基於 Windows 的惡意軟件到高度定制的 Linux 後門以及遍布南亞的憑證盜竊計劃。

建議和緩解措施

另請閱讀：谷歌確認 Salesforce 在 ShinyHunters 攻擊中發生數據洩露

安全研究人員建議政府僱員謹慎處理電子郵件附件和登錄頁面，因為偽裝的 PDF 和虛假門戶被用來誘騙用戶放棄其憑據。

為了對抗 APT36 通過武器化 .desktop 文件針對印度政府實體的活動，建議各機構部署強大的電子郵件安全、定期進行用戶培訓，並通過最低權限控制強化 BOSS Linux。端點檢測、網絡監控以及 IOC/YARA 規則的集成將有助於早期檢測，而及時修補和基於行為的控制對於阻止可疑活動至關重要。

更大的圖景

該事件凸顯了 APT 組織針對政府基礎設施造成的國家安全風險。如果成功，此類攻擊可能會導致機密數據被盜、關鍵業務中斷，並可能導致對印度機構的長期監視。隨著透明部落不斷改進其方法，印度在保護敏感基礎設施免受網絡間諜活動方面面臨著越來越大的挑戰。