Transparent Tribe, Hint Hükümetini Kimlik Avı ve Silahlandırılmış Masaüstü Kısayollarıyla Hedef Alıyor

Anasayfa » Transparent Tribe, Hint Hükümetini Kimlik Avı ve Silahlandırılmış Masaüstü Kısayollarıyla Hedef Alıyor
APT Saldırıları, Haberler, Siber Güvenlik
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Transparent Tribe, Hint Hükümetini Kimlik Avı ve Silahlandırılmış Masaüstü Kısayollarıyla Hedef Alıyor

Transparent Tribe olarak bilinen APT36 grubu, hem Windows hem de BOSS Linux sistemlerini hedef alan gelişmiş kimlik avı saldırıları düzenlemektedir. Bu saldırılar, Hint hükümeti kurumlarına yönelik olup, kötü amaçlı .desktop masaüstü kısayol dosyaları aracılığıyla silahlandırılmış yüklerin indirilip çalıştırılmasını sağlamaktadır.

Saldırı Zinciri ve Teknik Detaylar

İlk erişim, hedefe yönelik kimlik avı e-postalarıyla sağlanmakta; bu e-postalar sahte toplantı bildirimleri içererek kullanıcıları “Meeting_Ltr_ID1543ops.pdf.desktop” gibi görünen tuzaklı dosyaları açmaya ikna etmektedir. Bu dosyalar, arka planda kabuk betiği çalıştırarak saldırgan kontrolündeki “securestore[.]cv” sunucusundan hex kodlu ELF ikili dosyasını indirir ve aynı anda sahte PDF’yi Mozilla Firefox ile açar. Go dili ile yazılmış bu ikili dosya, sert kodlanmış C2 sunucusu modgovindia[.]space:4000 ile iletişim kurarak komut alır, yük indirir ve veri sızdırır.

Kalıcılık ve Anti-Analiz Teknikleri

Kötü amaçlı yazılım, sistem yeniden başlatıldığında otomatik çalışmayı sağlayan cron işleri ile kalıcılık kazanır. CloudSEK tarafından raporlandığı üzere, yazılım emülatör ve statik analiz araçlarını yanıltmak için sahte hata ayıklama ve sandbox karşıtı kontroller uygular. Hunt.io analizlerine göre, Poseidon adlı Transparent Tribe arka kapısı ile uzun süreli erişim ve yatay hareketlilik sağlanmaktadır.

Kimlik Avı ve İki Faktörlü Kimlik Doğrulama Hedefleri

Grup, sahte alan adları üzerinden kimlik bilgileri ve Kavach 2FA kodlarını çalmaya yönelik kimlik avı kampanyaları yürütmektedir. Kullanıcılar, geçerli e-posta kimlikleriyle ilk kimlik avı sayfasına yönlendirilip ardından şifre ve 2FA kodu istenen ikinci sayfaya aktarılmaktadır. Bu taktik, 2022’den beri SideCopy alt kümesi ile birlikte kullanılmaktadır.

Güncel Gözlemler: MeshAgent Teslimatı

Nextron Systems tarafından 29 Ağustos 2025’te yayımlanan analizde, Transparent Tribe’nin açık kaynaklı MeshAgent uzak yönetim aracını silahlandırılmış .desktop dosyalarıyla teslim ettiği gözlemlenmiştir. Bu yöntem, statik ve dinamik tespitten kaçmak için karartılmış yürütme zinciri kullanır. MeshAgent, Sindoor Dropper adlı UPX paketli Go dropper aracılığıyla gizlice kurulur ve saldırgana tam uzaktan erişim, yatay hareket, veri sızdırma ve kalıcılık imkanı sağlar.

Bu gelişmeler, Transparent Tribe’nin kritik Hint hükümet altyapısına yönelik kalıcı ve sofistike erişim sağlama kapasitesini ortaya koymaktadır.

, , , , , , ,