APT36与时俱进！专攻印度国防Maya操作系统

一个与巴基斯坦利益相符的、具有政治动机的黑客组织正与印度军方同步放弃Windows操作系统，并将重点放在为Linux编码的恶意软件上。BlackBerry研究人员表示，该组织调整并改进了其工具包。近几个月来，该组织严重依赖Python、Golang和Rust等跨平台编程语言，并滥用Telegram、Discord、Slack和Google Drive等热门网络服务。研究人员观察到该组织部署了一系列恶意工具，这些工具与之前攻击活动以及更新版本中使用的工具相似，BlackBerry评估这些工具确实是由Transparent Tribe实施的，研究人员对此有中等到高度的把握。

据印度媒体报道，印度国防部去年表示，将用Ubuntu的Maya分支取代Windows操作系统，该分支捆绑了名为Chakravyuh的端点检测和保护系统。一名国防部官员2023年8月告诉记者，这项计划最初在国防部内部推出，后来计划扩展到军事部门。

黑莓威胁研究和情报团队的研究人员周三（5月22日）表示，他们观察到被追踪为APT36的网络间谍组织正在转向“重点关注可执行和可链接格式(ELF)二进制文件的分发”。ELF是一种广泛使用的Linux可执行文件格式规范。

该网络间谍组织（也被称为透明部落（Transparent Tribe）和地球卡卡丹（Earth Karkaddan））在大多数攻击中部署了一系列与Linux平台兼容的间谍和数据泄露工具——网络安全公司Zscaler之前也观察到了这一趋势。

黑莓观察到该网络间谍组织从2023年末到2024年4月开始针对政府机构以及国防和航空航天工业开展一系列活动，而且活动可能会持续下去。该组织与巴基斯坦政府的联系尚不确定，但研究人员普遍认为可能与巴基斯坦情报部门有联系。

黑莓研究人员表示，他们在一封鱼叉式网络钓鱼电子邮件中发现了与巴基斯坦一家移动网络运营商相关的远程IP地址。恶意脚本中的时区变量设置为巴基斯坦标准时间。一份恶意文件可能是初步测试，“是从巴基斯坦木尔坦提交的”。该组织长期以印度军事和国防工业基地为目标，这也表明“可能与巴基斯坦的利益一致”。

研究人员表示，该网络间谍组织利用电子邮件作为鱼叉式网络钓鱼攻击的载体，还利用Telegram、Discord、Slack和Google Drive等流行网络服务来存储和分发诱饵和恶意软件。每次攻击的时机都是有策略性的，这表明黑客在发动每次攻击时都进行了详细的规划，并有特定的目标。

自研究人员开始跟踪APT36操作以来，该组织首次使用ISO映像作为攻击向量。当印度政府宣布招标购买战斗机并升级数十架苏霍伊30MKI战斗机时，它还在鱼叉式网络钓鱼电子邮件中使用ISO图像来针对印度空军官员。

黑莓表示，该间谍组织模仿印度国防和战略智囊团以及政府机构的网域，引诱受害者下载恶意引诱文件。这些组织包括位于新德里的独立智囊团陆战研究中心、印度计算机应急响应小组和陆军福利教育协会。

黑莓表示：“在16个月的时间里，该组织建立了多个与众多合法印度域名极为相似的域名，其中大多数都以顶级域名(TLD)为‘.in’。”

它提供的恶意脚本包括编译成ELF二进制文件的Python代码，VirusTotal上几乎没有检测到这些代码。这些二进制文件打开了来自Google Drive的PDF诱饵，并下载了已与APT36关联的Linux定制文件泄露文件变体，即Globshell。

黑莓团队从三个角度对威胁组织进行了归因。

首先，观察到与之前的透明部落活动存在显着重叠，包括跨各种工具、策略和技术以及网络基础设施的代码重用。

其次，尽管该组织努力掩盖其起源，但在调查过程中发现的一些迹象表明该威胁组织可能居住在巴基斯坦或在巴基斯坦开展活动。例如，在分析其中一个脚本时，注意到威胁行为者将时区环境变量TZ设置为“亚洲/卡拉奇”，即巴基斯坦标准时间。此外，ISO映像“Pay statements.iso”于2023年10月初首次出现，可能旨在作为此攻击媒介的初步测试，是从巴基斯坦木尔坦提交的。最后，在鱼叉式网络钓鱼电子邮件中，发现了与移动数据网络运营商CMPak Limited相关的远程IP地址 (223[.]123.17[.]36)，该运营商位于巴基斯坦。

最后，该威胁组织以印度国防生产部和印度国防军内的关键实体为战略目标，表明该威胁组织可能与巴基斯坦的利益一致。

参考资源

1、https://www.govinfosecurity.com/pakistani-aligned-apt36-targets-indian-defense-organizations-a-25296

2、https://government.economictimes.indiatimes.com/news/defence/know-maya-the-operating-system-that-will-replace-windows-in-defence-ministry/102629171

3、https://blogs.blackberry.com/en/2024/05/transparent-tribe-targets-indian-government-defense-and-aerospace-sectors

原文始发于微信公众号（CNCERT国家工程研究中心）：APT36与时俱进！专攻印度国防Maya操作系统