Muhtemel Pakistan kökenli bir tehdit aktörü, en az Haziran 2021’den bu yana CrimsonRAT adlı Windows tabanlı bir uzaktan erişim truva atıyla ilgili hedefleri arka kapıya taşımak için tasarlanmış başka bir kampanyaya atfedildi.
Cisco Talos araştırmacıları, “Şeffaf Kabile, Hindistan alt kıtasında oldukça aktif bir APT grubu olmuştur.” dedim The Hacker News ile paylaşılan bir analizde. “Birincil hedefleri Afganistan ve Hindistan’daki hükümet ve askeri personeldi. Bu kampanya, bu hedeflemeyi ve casusluk için uzun vadeli erişim sağlama ana hedeflerini daha da ileriye taşıyor.”
Geçen ay, gelişmiş kalıcı tehdit, CrimsonRAT ile yüksek bir “geçiş derecesi” sergileyen CapraRAT adlı bir arka kapıyla Android cihazlarını tehlikeye atmak için kötü amaçlı yazılım araç setini genişletti.
Cisco Talos tarafından detaylandırılan en son saldırı dizisi, .NET tabanlı keşif araçlarını ve RAT’leri kurmak için kullanılan Python tabanlı bir hazırlayıcı ve bir barebone dahil olmak üzere, kötü niyetli yükleri sağlamak için meşru hükümeti ve ilgili kuruluşları taklit eden sahte alan adlarının kullanılmasını içerir. Etkilenen sistemde rastgele kod çalıştırmak için .NET tabanlı implant.
Şeffaf Kabile, dağıtım taktiklerini ve kötü niyetli işlevlerini sürekli olarak geliştirmenin yanı sıra, Hindistan varlıklarını ve bireyleri hedef almak için meşru uygulamaların yükleyicilerini, arşiv dosyalarını ve silahlı belgeleri taklit eden yürütülebilir dosyalar gibi çeşitli dağıtım yöntemlerine güvendiği bilinmektedir.
İndirici yürütülebilir dosyalarından biri, kötü amaçlı yapıları iletmek için e-posta hizmetlerine erişmek için gerekli olan Hindistan hükümeti tarafından zorunlu kılınan iki faktörlü bir kimlik doğrulama çözümü olan Kavach (Hintçe’de “zırh” anlamına gelir) gibi görünüyor.
Ayrıca COVID-19 temalı tuzak görüntüler ve sanal sabit disk dosyaları (aka VHDX dosyaları) hassas verileri toplamak ve kurban ağlarına uzun vadeli erişim sağlamak için kullanılan CrimsonRAT gibi uzak bir komuta ve kontrol sunucusundan ek yükleri almak için başlatma paneli olarak kullanılır.
Araştırmacılar, “Çevik operasyonlar için kolayca değiştirilebilen çok sayıda teslimat aracının ve yeni ısmarlama kötü amaçlı yazılımların kullanılması, grubun agresif ve ısrarcı, çevik ve hedeflere bulaşmak için taktiklerini sürekli geliştirdiğini gösteriyor” dedi.