与巴基斯坦有联系的“Transparent Tribe(透明部落)”APT组织涉嫌对印度政府、国防和航空航天部门发动一系列新攻击,这些攻击使用 Python、Golang 和 Rust 编写的跨平台恶意软件。
黑莓研究和情报团队在上周初发布的技术报告中表示:“这一系列活动从 2023 年底持续到 2024 年 4 月,预计还会持续下去。”
此次鱼叉式网络钓鱼活动还因滥用 Discord、Google Drive、Slack 和 Telegram 等流行的在线服务而引人注目,这再次凸显了攻击者如何将合法程序纳入其攻击流程。
据黑莓称,此次电子邮件攻击的目标包括三家公司,它们是国防生产部(DDP)的重要利益相关者和客户。这三家目标公司的总部均位于印度班加罗尔市。
虽然没有透露公司名称,但有迹象表明这些电子邮件针对的是全球最大的航空航天和国防公司之一印度斯坦航空有限公司( HAL ) 、国有航空航天和国防电子公司巴拉特电子有限公司( BEL )以及生产土方设备的国有企业BEML 有限公司。
透明部落APT组织受到全球网络安全社区的普遍关注,其名称包括 APT36、Earth Karkaddan、Mythic Leopard、Operation C-Major 和 PROJECTM。
该组织据信至少自 2013 年以来一直活跃,曾对印度政府、军队和教育机构进行网络间谍活动,此外还针对巴基斯坦、阿富汗、伊拉克、伊朗和阿拉伯联合酋长国的受害者开展过高度针对性的移动间谍软件活动。
此外,该组织还不断尝试新的入侵方法,多年来不断尝试不同的恶意软件,多次迭代其策略和工具包以逃避检测。
Transparent Tribe 使用的一些著名恶意软件家族包括 CapraRAT、CrimsonRAT、ElizaRAT、GLOBSHELL、LimePad、ObliqueRAT、Poseidon、PYSHELLFOX、Stealth Mango 和 Tangelo,后两者与位于拉合尔的一个自由开发团队有关。
移动安全公司 Lookout早在 2018 年就指出,这些开发人员“可供雇用”,并且“至少有一名政府雇员兼职担任移动应用程序开发人员” 。
该组织发起的攻击链涉及使用鱼叉式网络钓鱼电子邮件,通过恶意链接或 ZIP 存档传递有效载荷,由于印度政府严重依赖基于 Linux 的操作系统,他们特别专注于分发 ELF 二进制文件。
感染最终部署三种不同版本的 GLOBSHELL,这是一种基于 Python 的信息收集实用程序, Zscaler之前曾记录过针对印度政府组织内 Linux 环境的攻击。此外,还部署了 PYSHELLFOX 来窃取 Mozilla Firefox 浏览器的数据。
BlackBerry 表示,它还发现了来自攻击者控制的域“apsdelhicantt[.]in”的 bash 脚本版本和基于 Python 的 Windows 二进制文件:
- swift_script.sh,GLOBSHELL 的 bash 版本
- Silverlining.sh ,一个名为Sliver的开源命令与控制 (C2) 框架
- swift_uzb.sh,一个用于从连接的 USB 驱动器收集文件的脚本
- afd.exe,一个中间可执行文件,负责下载 win_hta.exe 和 win_service.exe
- win_hta.exe 和 win_service.exe,两个 Windows 版本的 GLOBSHELL
GLOBSHELL for Windows的攻击链
DSOP_Fund_Nomination_Form攻击链和核心功能
作为透明部落战术演变的标志,人们观察到 2023 年 10 月策划的网络钓鱼活动利用 ISO 映像文件部署了基于 Python 的远程访问木马,该木马使用 Telegram 进行 C2 通信。
使用 ISO 映像文件的攻击链
值得指出的是,使用 ISO 文件诱饵攻击印度政府实体是一种自今年年初以来就观察到的做法,这是两起可能相关的入侵事件的一部分 —— 加拿大网络安全公司表示,这种作案手法“具有透明部落攻击链的标志”。
进一步的基础设施分析还发现了一个由 Golang 编译的“一体化”程序,该程序能够查找和窃取具有流行文件扩展名的文件、截取屏幕截图、上传和下载文件以及执行命令。
该间谍工具是开源项目Discord-C2的修改版本,它接收来自 Discord 的指令并通过 ZIP 存档中的 ELF 二进制下载程序传送。
黑莓表示:“透明部落一直将印度国家安全的关键部门作为攻击目标。该组织继续使用一套核心战术、技术和程序 (TTP),并随着时间的推移不断进行改进。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/9lp9towmpMrHMMKbRE654A
暂无评论内容