Transparent Tribe снова атакует индийских чиновников: новые кампании и старые трояны

Группировка Transparent Tribe, которую исследователи связывают с Пакистаном, продолжает кибершпионаж против военных и государственных структур Афганистана и Индии. Как минимум с июня 2021 года хакеры ведут очередную кампанию по распространению Windows-трояна удалённого доступа CrimsonRAT — и параллельно расширяют арсенал новым бэкдором для Android.

Три семейства вредоносов

Основной инструмент группы — CrimsonRAT, имплант на платформе .NET, который используется как минимум с 2020 года. Второй троян, ObliqueRAT, написан на C/C++ и был обнаружен в начале 2020-го; его главная цель — сотрудники государственных ведомств. Третий компонент арсенала — набор кастомного вредоносного ПО: разнообразные загрузчики, дропперы и облегчённые RAT-модули, которые можно быстро развернуть под конкретную задачу.

Отдельно исследователи отмечают CapraRAT — бэкдор для Android, недавно добавленный в инструментарий группы. По функциональности он демонстрирует высокий уровень пересечения с CrimsonRAT.

Как строится заражение

Атакующие создают поддельные домены, клонирующие сайты легитимных государственных и связанных с ними организаций. Через такие ресурсы жертвам подсовывают целую цепочку компонентов: Python-стейджер для установки .NET-инструментов разведки, баребонные .NET-импланты (RAT), а также приманку — PDF-документ на тему COVID-19. Запускает всю цепочку VBS-файл, который активируется вредоносным LNK-файлом и отображает жертве отвлекающий документ.

Примечательно, что вместо привычных HTTP-файлов для доставки используются файлы формата IMG, содержащие сразу несколько артефактов заражения. Это один из наиболее изощрённых приёмов группы: начиная с версий новее Windows XP операционная система умеет открывать IMG-файлы нативно, что упрощает атакующим доставку полезной нагрузки. По наблюдениям исследователей, IMG-файлы всё активнее используют и другие APT-группы, и обычные киберпреступники.

Помимо этого, Transparent Tribe применяет и более традиционные методы доставки: исполняемые файлы, маскирующиеся под установщики, архивы и вооружённые документы. Тактики и инструменты группа меняет быстро, что затрудняет обнаружение.

Приманка на тему Kavach и связь с SideCopy

В сентябре 2021 года компания Talos сообщила об операции Armor Piercer, в рамках которой злоумышленники распространяли трояны Netwire и Warzone (он же AveMaria), используя темы, связанные с приложением «Kavach». Kavach — это решение двухфакторной аутентификации, обязательное для доступа к государственной электронной почте в Индии. Помимо этого приманки нередко маскируются под официальные рекомендации по COVID-19 — этот приём применялся Transparent Tribe и ранее.

Похожими темами и методами против индийских госслужащих пользуются и другие APT-группы — в частности, SideCopy, кампания которой была зафиксирована в июле 2021 года. Исследователи подчёркивают, что подобное совпадение тактик усложняет атрибуцию отдельных атак и требует от защитников госсектора Индии повышенной бдительности при работе с вложениями и ссылками из внешних источников.

Источник: Cybersecurity News.