Le groupe APT (Advanced Persistent Threat) connu sous le nom de Tribu transparente a été attribuée à une nouvelle campagne de phishing en cours ciblant les étudiants de divers établissements d’enseignement en Inde au moins depuis décembre 2021.
“Cette nouvelle campagne suggère également que l’APT étend activement son réseau de victimes pour inclure les utilisateurs civils”, a déclaré Cisco Talos. a dit dans un rapport partagé avec The Hacker News.
Également suivi sous les noms APT36, Operation C-Major, PROJECTM, Mythic Leopard, l’acteur de Transparent Tribe est soupçonné d’être d’origine pakistanaise et est connu pour frapper des entités gouvernementales et des groupes de réflexion en Inde et en Afghanistan avec des logiciels malveillants personnalisés tels que CrimsonRAT, ObliqueRAT , et CapraRAT.
Mais le ciblage des établissements d’enseignement et des étudiants, d’abord observé par K7 Labs basé en Inde en mai 2022, indique un écart par rapport à l’objectif typique de l’adversaire.
“Le dernier ciblage du secteur de l’éducation peut s’aligner sur les objectifs stratégiques d’espionnage de l’État-nation”, ont déclaré les chercheurs de Cisco Talos à The Hacker News. “Les APT cibleront fréquemment des individus dans les universités et les organismes de recherche technique afin d’établir un accès à long terme pour siphonner les données liées aux projets de recherche en cours.”
Les chaînes d’attaque documentées par la société de cybersécurité impliquent la livraison d’un maldoc aux cibles sous forme de pièce jointe ou de lien vers un emplacement distant via un e-mail de harponnage, conduisant finalement au déploiement de CrimsonRAT.
“Cet APT déploie un effort substantiel pour inciter ses victimes à s’infecter elles-mêmes”, ont déclaré les chercheurs. “Les leurres par e-mail de Transparent Tribes essaient d’apparaître aussi légitimes que possible avec un contenu pertinent pour convaincre les cibles d’ouvrir les maldocs ou de visiter les liens malveillants fournis.”
CrimsonRATégalement connu sous le nom de SEEDOOR et Scarimson, les fonctions comme implant de base de choix pour l’acteur de la menace pour établir un accès à long terme aux réseaux des victimes ainsi que pour exfiltrer les données d’intérêt vers un serveur distant.
Grâce à son architecture modulaire, le logiciel malveillant permet aux attaquants de contrôler à distance la machine infectée, de voler les informations d’identification du navigateur, d’enregistrer les frappes au clavier, de capturer des captures d’écran et d’exécuter des commandes arbitraires.
De plus, un certain nombre de ces documents leurres seraient hébergés sur des domaines liés à l’éducation (par exemple, “studentsportal[.]co”) qui ont été enregistrées dès juin 2021, avec l’infrastructure exploitée par un fournisseur de services d’hébergement Web pakistanais nommé Zain Hosting.
“L’étendue du rôle de Zain Hosting dans l’organisation Transparent Tribe est encore inconnue”, ont noté les chercheurs. “Il s’agit probablement de l’un des nombreux tiers que Transparent Tribe utilise pour préparer, mettre en scène et/ou déployer des composants de son opération.”