Um zoom no grupo “Transparent Tribe”
O grupo APT, Transparent Tribe, não fez uma pausa nos últimos quatro anos e continua a atacar militares e funcionários do governo na Índia. Desde o aprimoramento das operações e o início de campanhas de espionagem maciça até o desenvolvimento de novas ferramentas e a mudança de foco para o Afeganistão, o grupo passou por uma evolução tremenda.
Operações repletas de habilidade admirável
- Ao longo dos anos, os TTPs usados pelo grupo permaneceram consistentes e persistentes no emprego de certas ferramentas e na criação de novos programas para diferentes campanhas de espionagem. Como vetor de infecção, eles preferem principalmente documentos maliciosos com uma macro incorporada.
- Principalmente, o Transparent Tribe implanta um malware personalizado de Trojan de acesso remoto (RAT) .NET, comumente conhecido como RAT Crimson. No entanto, ao longo dos anos, os pesquisadores observaram o uso de um RAT baseado em Python conhecido como Peppy e outro malware .NET personalizado.
- Uma nova ferramenta de ataque USB, USBWorm, também foi projetada pela Transparent Tribe. A ferramenta é composta de dois componentes principais – um ladrão de arquivos para mídia removível e um recurso de worm para mover para sistemas vulneráveis.
Vivo e intacto
- Depois de rastrear Transparent Tribe por mais de quatro anos, a pesquisa recente da Kaspersky sugere que o grupo está trabalhando na atualização de seu conjunto de ferramentas e diversificação de sua operação – o que agora envolve ameaças móveis. O fornecedor de segurança cibernética descobriu um novo spyware Android que utiliza conteúdo explícito e informações relacionadas ao COVID-19 para instalar um RAT em dispositivos móveis.
- Os operadores da Transparent Tribe desenvolveram uma nova ferramenta para infectar dispositivos USB para vigilância e espionagem do governo e militares na Índia e no Afeganistão. O grupo inicia a cadeia de ataques enviando e-mails de spearphishing anexados a documentos maliciosos do Microsoft Office, incluindo uma macro incorporada que implanta um RAT Crimson.
O quê mais?
As novas evidências da Kaspersky confirmam uma conexão entre a Tribo Transparente e ObliqueRAT , outra família RAT maliciosa. Algumas amostras do ObliqueRAT – descobertas pelo Cisco Talos – foram distribuídas por meio de documentos maliciosos incluídos em macros que se assemelhavam àquelas utilizadas para espalhar o RAT carmesim.
Conclusão
Nos últimos 12 meses, Transparent Tribe conduziu uma enorme campanha contra pessoal diplomático e militar para espioná-los implacavelmente. Com a descoberta de suas novas ferramentas de malware personalizadas, os pesquisadores não esperam uma queda nas operações do grupo tão cedo.
Fonte: https://cyware.com/news/zooming-in-on-transparent-tribe-5aba9b21