据The Hacker News有巴基斯坦国家背景的消息被称为透明部落(Transparent Tribe)”的APT基于组织的组织正在使用它Windows的CrimsonRAT远程访问木马大肆发起网络攻击活动,目标直指印度官员。
思科 Talos安全研究人员说:自2021年6月以来,透明部落在印度网络空间非常活跃,他们攻击的主要目标是阿富汗和印度政府官员、军事人员等,攻击让他们更接近这个目标,并建立了长期网络攻击的核心目标。
2016年2月,ProofPoint透明部落首次被发现APT组织,其IP地址位于巴基斯坦,具有明显的政府色彩。该组织利用多种复杂的手段攻击印度驻沙特阿拉伯和哈萨克斯坦大使馆的外交官和军事人员,如在线钓鱼、水坑攻击和远程访问木马。
如今,透明部落再次活跃起来。2022年2月,高级持续威胁扩展了其恶意软件工具集,称为CapraRAT的后门入侵 Android 设备用于后门和透明部落CrimsonRAT木马高度交叉。
思科在报告中Talos在新的一系列攻击中,黑客使用伪装成合法政府和相关组织的虚假领域来传播恶意软件的有效载荷,包括一个基于python基于安装的存储器.NET网络侦察工具和RATs,以及一个基础.NET植入木马,以便在感染系统上运行任何代码。
透明部落除了不断优化部署策略和恶意功能外,还大力发展模拟合法应用程序安装程序、存档文件、武器文件等各种交付方式,更好地针对印度官员和军事人员。
下载器可执行文件伪装成 Kavach(印度语中的盔甲)是印度政府强制要求的两个因素身份验证解决方案,用于访问电子邮件服务以传递恶意工件。
透明部落还使用了以 COVID-19诱饵图像和虚拟硬盘文件(也称为主题)VHDX它们用于远程命令和控制服务器(如 CrimsonRAT),用于收集敏感数据,建立长期访问受害者网络的权限。
思科Talos安全研究人员说:透明部落使用各种运输工具,可以轻松修改敏捷操作新定制恶意软件,表明组织具有攻击性、持久性、敏捷性,更重要的是,他们仍在发展和优化,值得相关人员警惕。
参考来源:https://thehackernews.com/2022/03/new-hacking-campaign-by-transparent.html