巴基斯坦网络攻击者冒充"NIC电子邮箱服务"针对印度政府

巴基斯坦高级持续性威胁组织APT36（又称TransparentTribe）正在积极针对印度政府实体开展复杂的鱼叉式网络钓鱼活动，使用主题为"NIC电子邮箱服务"的电子邮件诱饵。

攻击活动详情

该活动利用相似域名和武器化基础设施窃取凭证，实现长期间谍活动。攻击从伪装成印度国家信息中心（NIC）官方通知的电子邮件开始，NIC是印度政府电子邮件和IT服务的数字骨干。

受害者会看到一个标有"NICeMail Services"的虚假登录门户，旨在收集敏感信息，如电子邮件地址和密码。该登录页面密切模仿合法的NIC网络邮件界面，进一步增强了活动的真实性和成功可能性。

支持此操作的恶意基础设施包括多个与近期APT36活动相关的域和服务器：

accounts.mgovcloud[.]in.departmentofdefence[.]live：托管网络钓鱼页面，仿冒NIC真实门户网站的外观，收集在虚假登录表单上提交的用户凭证
departmentofdefence[.]live：作为父域，通过暗示性的政府关联提供额外可信度
81.180.93[.]5：链接到"Stealth Server"命令与控制（C2）接口，可通过8080端口访问，该面板用于接收从受感染系统渗漏的数据并控制入侵后部署的恶意软件植入物
45.141.59[.]168：活动中涉及的另一个IP，可能托管恶意软件负载或促进C2通信

网络扫描数据确认网络钓鱼域具有有效的TLS证书，表明攻击者采取了额外的操作安全层，以避免浏览器警告并在目标用户眼中增强合法性。

APT36（TransparentTribe）是一个归属于巴基斯坦的著名威胁组织，长期对印度国防、外交和政府组织感兴趣。该组织的作案手法通常涉及鱼叉式网络钓鱼和定制恶意软件交付，以促进数据盗窃和间谍活动。

APT36采用不断发展的策略，包括高度逼真的网络钓鱼页面、使用开源攻击框架以及利用当前地缘政治事件来提高受害者参与的可能性。这次伪装成常规NIC服务通知的最新活动，体现了该威胁组织利用信任和规避基本安全控制的能力。

安全专家建议印度政府用户和相关组织提高警惕，特别是在任何意外或非官方登录门户上被提示输入凭证时。

应在网络级别阻止上述列出的域和IP地址等妥协指标，并教育用户识别鱼叉式网络钓鱼的迹象。敦促IT部门推出多因素认证，并持续监控凭证滥用或异常登录，因为这些措施可以帮助阻止APT36的主要攻击向量。

鉴于该组织的持久性和适应性策略，主动防御和网络卫生对于保护敏感的政府系统免受国家支持的威胁仍然至关重要。