最近,Cisco Talos 发现透明部落 APT 组织正在进行一场持续的恶意活动。来自巴基斯坦的 APT 黑客对印度各地的几家教育机构进行了恶意攻击,以对学生造成伤害。
在这个正在进行的积极活动中,APT 还针对其受害者网络内的平民用户。毫无疑问,APT 网络正在因其活动而扩大。
为了实现他们的目标,并针对政府和伪政府实体,该 APT 小组使用 RAT,例如:
CrimsonRAT
ObliqueRAT
CapraRAT
除了透明部落外,这个团体还有其他名字,如:
APT36
Operation C-Major
PROJECTM
Mythic Leopard
2022 年 5 月,印度的 K7 Labs 首次观察到针对教育机构和学生的针对性攻击。此外,最有可能的 APT 嫌疑人之一是一家巴基斯坦托管公司“ZainHosting”,据估计该公司正在与 APT 打交道。
通过使用它,Transparent Tribe 能够部署和操作他们用来传输他们自己的这场运动的基础设施系统。
APT 简介
名称:Transparent Tribe(透明部落)
集团产地:巴基斯坦
目标:印度和阿富汗的政府和军事人员
使用的置入物:CrimsonRAT、ObliqueRAT、CapraRAT
感染链
在鱼叉式网络钓鱼攻击中,恶意文档作为目标附件或指向远程位置的链接作为包含恶意文档的电子邮件的一部分传递。
在以前的透明部落活动中,恶意 VBA 宏被用作恶意文档的一部分。提取嵌入式存档文件的恶意文档中包含一个宏。
然后它解压缩文件,以便能够执行其中包含的恶意软件。该文件包含一个包含名为 CrimsonRAT 的恶意软件的档案。
CrimsonRAT 可能有几个名字,即:
SEEDOOR
Scarimson
对于威胁参与者,CrimsonRAT 在确定使用哪种植入物时充当首选植入物。攻击者使用这种技术来获得对受害者网络的长期访问权限,并将重要的感兴趣数据从受害者网络传输到受威胁者控制的远程服务器。
为了远程控制受此恶意软件感染的机器,攻击者需要利用其模块化架构。在获得受感染机器的控制权后,攻击者可以进行以下非法活动:-
窃取浏览器凭据
记录击键
捕获屏幕截图
执行任意命令
在整个印度次大陆,透明部落一直在积极扩张,通过扩大分销渠道来扩大受害者人数。
除此之外,他们现在在新的竞选活动中针对平民,尤其是与教育机构有关的人。由于这些高度积极的对手,组织必须保持警惕,因为他们的战略由于环境的变化而迅速变化。
通过基于风险分析方法的综合防御策略,可以达到预防网络攻击的最佳效果。
