Le Tribu transparente L’acteur menaçant a été lié à un ensemble de documents Microsoft Office militarisés lors d’attaques ciblant le secteur de l’éducation indien à l’aide d’un logiciel malveillant continuellement maintenu appelé Crimson RAT.
Alors que le groupe menaçant présumé basé au Pakistan est connu pour cibler des entités militaires et gouvernementales dans le pays, les activités se sont depuis étendues pour inclure le secteur de l’éducation.
Le groupe de piratage, également appelé APT36, Operation C-Major, PROJECTM et Mythic Leopard, est actif depuis 2013. Les établissements d’enseignement sont les victimes des attaques de l’adversaire depuis fin 2021.
« Le RAT cramoisi est un cohérent agrafe dans le groupe arsenal de logiciels malveillants l’adversaire utilise dans ses campagnes », a déclaré le chercheur de SentinelOne, Aleksandar Milenkoski a dit dans un rapport partagé avec The Hacker News.
Le logiciel malveillant a la fonctionnalité d’exfiltrer des fichiers et des données système vers un serveur contrôlé par un acteur. Il est également conçu avec la possibilité de capturer des captures d’écran, de mettre fin aux processus en cours d’exécution, de télécharger et d’exécuter des charges utiles supplémentaires pour enregistrer les frappes au clavier et voler les informations d’identification du navigateur.
Le mois dernier, ESET a attribué Transparent Tribe à une campagne de cyberespionnage visant à infecter les utilisateurs indiens et pakistanais d’Android avec une porte dérobée appelée CapraRAT.
Une analyse d’échantillons de Crimson RAT a révélé la présence du mot « Wibemax », corroborant une rapport précédent de Fortinet. Bien que le nom corresponde à celui d’une société pakistanaise de développement de logiciels, il n’est pas immédiatement clair s’il partage un lien direct avec l’acteur de la menace.
Cela dit, il convient de noter que Transparent Tribe a par le passé exploité l’infrastructure exploitée par un fournisseur d’hébergement Web appelé Zain Hosting dans des attaques ciblant le secteur de l’éducation indien.
Les documents analysés par SentinelOne portent un contenu sur le thème de l’éducation et des noms tels que devoir ou Devoir-no-10, et utilisent un code de macro malveillant pour lancer le Crimson RAT. Une autre méthode concerne l’utilisation de l’intégration OLE pour mettre en scène le malware.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
« Les documents malveillants qui implémentent cette technique obligent les utilisateurs à double-cliquer sur un élément du document », a expliqué Milenkoski. « Ces documents distribués par Transparent Tribe affichent généralement une image (un graphique « Afficher le document ») indiquant que le contenu du document est verrouillé. »
Ceci, à son tour, incite les utilisateurs à double-cliquer sur le graphique pour afficher le contenu, activant ainsi un package OLE qui stocke et exécute le Crimson RAT, se faisant passer pour un processus de mise à jour.
Il a également été observé que les variantes de Crimson RAT retardaient leur exécution pendant une période spécifique allant d’une minute à quatre minutes, sans parler de la mise en œuvre de différentes techniques d’obscurcissement à l’aide d’outils tels que Crypto Obfuscator et Eazfuscator.
« Transparent Tribe est un acteur de menace très motivé et persistant qui met régulièrement à jour son arsenal de logiciels malveillants, son manuel opérationnel et sa cible », a déclaré Milenkoski. « Les stratégies opérationnelles et de ciblage en constante évolution de Transparent Tribe nécessitent une vigilance constante pour atténuer la menace posée par le groupe. »