شهدت الأوساط الأمنية رصد حملة سيبرانية جديدة نفذتها مجموعة التهديد المستمر المتقدم المعروفة باسم Transparent Tribe أو APT36، حيث استهدفت أنظمة ويندوز وLinux BOSS التابعة للهيئات الحكومية الهندية باستخدام ملفات اختصار سطح مكتب خبيثة جرى تمريرها عبر رسائل بريد تصيّدي موجهة.
آلية الاختراق واستهداف الأنظمة
بحسب تقرير شركة CYFIRMA، فإن الوصول الأولي يتم عبر رسائل بريد إلكتروني تحمل طابعًا رسميًا مزيفًا، تتضمن ملفات اختصار بامتداد .desktop تم تصميمها خصيصًا لاستهداف بيئة Linux BOSS. بمجرد فتح هذه الملفات، تُنزّل حمولة خبيثة على النظام وتبدأ بتنفيذها.
وتُعد هذه الأساليب امتدادًا لتاريخ طويل للمجموعة الباكستانية في اختراق المؤسسات الحكومية الهندية باستخدام أدوات RATs المختلفة.
تفاصيل الهجوم السيبراني
الهجمات الأخيرة بدأت برسائل إلكترونية مموهة على هيئة إشعارات اجتماعات مرفقة بملفات مثل:
Meeting_Ltr_ID1543ops.pdf.desktop، والتي تظهر كوثائق PDF لتضليل الضحية.
عند فتح الملف، يُشغَّل Shell Script يعمل بمثابة أداة إسقاط (Dropper) لجلب ملف مشفر من خادم يديره المهاجمون، وحفظه بصيغة ELF binary، مع فتح ملف PDF وهمي مستضاف على Google Drive عبر متصفح Firefox لإبعاد الشبهة.
البرنامج الخبيث المكتوب بلغة Go يتصل بخادم قيادة وتحكم (modgovindia[.]space:4000) لتنفيذ أوامر، وجلب حمولة إضافية، وسرقة بيانات حساسة. كما يثبت وجوده في النظام عبر مهمة مجدولة cron job تضمن تشغيله بعد إعادة التشغيل أو إيقاف العملية.
قدرات متقدمة وممارسات مضادة للرصد
أشارت شركة CloudSEK إلى أن البرمجية الخبيثة تنفذ عملية استطلاع للنظام وتطبق تقنيات مضادة للتحليل مثل anti-debugging وanti-sandbox للتهرب من أدوات الفحص. كما أظهر تحليل منصة Hunt.io أن الهجمات تهدف في نهاية المطاف إلى نشر باب خلفي يعرف باسم Poseidon، يمكّن من جمع البيانات، وحصاد بيانات الاعتماد، والحفاظ على وصول طويل الأمد، وربما تنفيذ حركة جانبية داخل الشبكات الحكومية.
استهداف المصادقة الثنائية وحملات موازية
تزامن هذا الكشف مع تقارير سابقة عن استهداف المجموعة نفسها للمؤسسات الدفاعية الهندية عبر نطاقات مزيّفة تهدف إلى سرقة كلمات المرور وأكواد المصادقة الثنائية الخاصة بحل Kavach المستخدم في الدوائر الحكومية.
ويُظهر ذلك إصرار APT36 وذراعها الفرعي SideCopy على استهداف أنظمة الحماية متعددة العوامل منذ عام 2022، مستعينين ببنى تحتية مستضافة على خوادم باكستانية.
كما تزامنت الحملة مع أنشطة أخرى لمجموعة تهديد مختلفة تُعرف باسم SideWinder، والتي شنت هجمات تصيّد موجهة لدول جنوب آسيا مثل بنغلاديش ونيبال وسريلانكا وتركيا عبر صفحات تسجيل دخول مزيّفة مستضافة على Netlify وPages.dev، متخفية في صورة بوابات بريد إلكتروني أو منصات رسمية لرفع الوثائق.
