Nouvelle campagne de piratage par Transparent Tribe Hackers ciblant des responsables indiens


Un acteur menaçant d’origine probablement pakistanaise a été attribué à une autre campagne conçue pour cibler des cibles d’intérêt avec un cheval de Troie d’accès à distance basé sur Windows nommé CrimsonRAT depuis au moins juin 2021.

« Transparent Tribe a été un groupe APT très actif dans le sous-continent indien », ont déclaré les chercheurs de Cisco Talos. mentionné dans une analyse partagée avec The Hacker News. « Leurs cibles principales ont été le personnel gouvernemental et militaire en Afghanistan et en Inde. Cette campagne renforce ce ciblage et leur objectif central d’établir un accès à long terme pour l’espionnage. »

Sauvegardes GitHub automatiques

Le mois dernier, la menace persistante avancée a étendu son ensemble d’outils de logiciels malveillants pour compromettre les appareils Android avec une porte dérobée nommée CapraRAT qui présente un « degré de croisement » élevé avec CrimsonRAT.

La dernière série d’attaques détaillées par Cisco Talos implique l’utilisation de faux domaines qui imitent le gouvernement légitime et les organisations connexes pour fournir les charges utiles malveillantes, y compris un stager basé sur Python utilisé pour installer des outils de reconnaissance et des RAT basés sur .NET ainsi qu’un barebones Implant basé sur .NET pour exécuter du code arbitraire sur le système infecté.

Pirates tribaux transparents

Outre l’évolution continue de leurs tactiques de déploiement et de leurs fonctionnalités malveillantes, Transparent Tribe est connu pour s’appuyer sur une variété de méthodes de livraison, telles que des exécutables se faisant passer pour des installateurs d’applications légitimes, des fichiers d’archives et des documents militarisés pour cibler des entités et des individus indiens.

Empêcher les violations de données

L’un des exécutables du téléchargeur se fait passer pour Kavach (qui signifie « armure » en hindi), une solution d’authentification à deux facteurs mandatée par le gouvernement indien et requise pour accéder aux services de messagerie, afin de fournir les artefacts malveillants.

Des images leurres sur le thème de COVID-19 et fichiers de disque dur virtuel (alias fichiers VHDX) qui sont utilisés comme rampe de lancement pour récupérer des charges utiles supplémentaires à partir d’un serveur de commande et de contrôle distant, tel que le CrimsonRAT, qui est utilisé pour collecter des données sensibles et établir un accès à long terme aux réseaux victimes.

« L’utilisation de plusieurs types de véhicules de livraison et de nouveaux logiciels malveillants sur mesure qui peuvent être facilement modifiés pour des opérations agiles indique que le groupe est agressif et persistant, agile et fait constamment évoluer ses tactiques pour infecter ses cibles », ont déclaré les chercheurs.



ttn-fr-57