据The Hacker News消息,具有巴基斯坦国家背景的,名为“透明部落(Transparent Tribe)”的APT组织,正在利用一个基于Windows的CrimsonRAT远程访问木马大肆发起网络攻击活动,目标直指印度官员。
思科 Talos安全研究人员表示,“自2021年6月以来,透明部落在印度网络空间中一直非常活跃,他们攻击的主要目标是阿富汗和印度的政府官员、军事人员等,此次攻击活动让他们离这一目标更近一步,且已经建立起了向核心目标发起长期网络攻击的准备。”
2016年2月,ProofPoint首次发现了透明部落APT组织,其IP地址位于巴基斯坦,具有明显的政府色彩。该组织运用了网络钓鱼、水坑攻击、远程访问木马等多重复杂手段,向印度驻沙特阿拉伯和哈萨克斯坦使馆的外交官和军事人员发起攻击。
如今,透明部落再一次活跃了起来。2022年2月,高级持续性威胁扩展了其恶意软件工具集,通过名为CapraRAT的后门入侵 Android 设备,该后门与透明部落使用的CrimsonRAT木马高度“交叉”。
在报告中,思科Talos详述此次攻击活动,在新一系列的攻击中,黑客利用“伪装成合法政府和相关组织的虚假域来传播恶意软件的有效载荷,包括一个基于python的存储器,用于安装基于.NET的网络侦察工具和RATs,以及一个基于的.NET的植入木马,以便在受感染的系统上运行任意代码。”
除了不断优化部署策略和恶意功能外,透明部落还大力发展各种交付方法,例如模拟合法应用程序安装程序、存档文件和武器化文档的可执行文件,以便更好地针对印度官员和军事人员。
其中一个下载器可执行文件伪装成 Kavach(在印地语中意为“盔甲”),这是一种印度政府强制要求的两因素身份验证解决方案,用于访问电子邮件服务,以传递恶意工件。
透明部落还使用了以 COVID-19为主题的诱饵图像和虚拟硬盘文件(又名VHDX文件),它们被用于远程命令和控制服务器(例如 CrimsonRAT),用于收集敏感数据并建立对受害者网络的长期访问权限。
思科Talos安全研究人员表示:“透明部落正在使用多种类型的运载工具,和可以轻松修改以进行敏捷操作的新型定制恶意软件,表明该组织具有攻击性、持久性、敏捷性,更重要的是,他们还在不断进行发展和优化,值得引起相关人员的警惕。”