- Trong năm 2022, nhóm tấn công APT36 (hay còn gọi là Transparent Tribe) đã hoạt động với CrimsonRAT, ObliqueRAT và một số phần mềm độc hại tùy chỉnh khác. Gầnđây, một chiến dịch tấn công mới của nhóm này đã bị phát hiện sử dụng công cụ lọc dữ liệu mới có tên là Limepad.

APT36 lợi dụng quảng cáo của Google với mục đích phân phối các phiên bản trojan độc hại. Đối tượng tấn công chiếm quyền kiểm soát một số cửa hàng ứng dụng của bên thứ 3 và sử dụng chúng như một cổng để chuyển hướng người dùng đến các miền độc hại.

Nhóm sử dụng công cụ Limepad để lấy cắp dữ liệu từ máy chủ bị nhiễm. Nó có dạng mô-đun và chứa nhiều thư viện Python tùy chỉnh.

Chiến dịch lần này nhằm mục tiêu vào nhân viên và các tổ chức chính phủ Ấn Độ. APT36 đã đăng kí một số miền giả mạo các trang web của tổ chức chính phủ Ấn Độ để khởi động các cuộc tấn công lừa đảo, thu thập thông tin xác thực.

Các tên miền này mạo danh trang đăng nhập Kavach NIC (Trung tâm Tin học Quốc gia) hoặc các tổ chức chính phủ khác. Nó chuyển hướng nạn nhân đến các miền độc hại khi người dùng truy cập từ địa chỉ IP của Ấn Độ.

Mặc dù Limepad đang trong giai đoạn phát triển ban đầu, nhưng các chuyên gia cho rằng với các chức năng chính của nó, Limepad có thể trở thành phần mềm độc hại được lựa chọn để thiết lập quyền truy cập lâu dài vào mạng mục tiêu. Việc sử dụng quảng cáo độc hại, thu thập thông tin đăng nhập và các cuộc tấn công lừa đảo cho thấy Limepad có thể được sử dụng với các động cơ cao hơn.

Phạm Lê