Группировка Transparent Tribe, которую исследователи связывают с Пакистаном, продолжает кибершпионаж против военных и государственных структур Афганистана и Индии. Как минимум с июня 2021 года хакеры ведут очередную кампанию по распространению Windows-трояна удалённого доступа CrimsonRAT — и параллельно расширяют арсенал новым бэкдором для Android.
Три семейства вредоносов
Основной инструмент группы — CrimsonRAT, имплант на платформе .NET, который используется как минимум с 2020 года. Второй троян, ObliqueRAT, написан на C/C++ и был обнаружен в начале 2020-го; его главная цель — сотрудники государственных ведомств. Третий компонент арсенала — набор кастомного вредоносного ПО: разнообразные загрузчики, дропперы и облегчённые RAT-модули, которые можно быстро развернуть под конкретную задачу.
Отдельно исследователи отмечают CapraRAT — бэкдор для Android, недавно добавленный в инструментарий группы. По функциональности он демонстрирует высокий уровень пересечения с CrimsonRAT.
Как строится заражение
Атакующие создают поддельные домены, клонирующие сайты легитимных государственных и связанных с ними организаций. Через такие ресурсы жертвам подсовывают целую цепочку компонентов: Python-стейджер для установки .NET-инструментов разведки, баребонные .NET-импланты (RAT), а также приманку — PDF-документ на тему COVID-19. Запускает всю цепочку VBS-файл, который активируется вредоносным LNK-файлом и отображает жертве отвлекающий документ.
Примечательно, что вместо привычных HTTP-файлов для доставки используются файлы формата IMG, содержащие сразу несколько артефактов заражения. Это один из наиболее изощрённых приёмов группы: начиная с версий новее Windows XP операционная система умеет открывать IMG-файлы нативно, что упрощает атакующим доставку полезной нагрузки. По наблюдениям исследователей, IMG-файлы всё активнее используют и другие APT-группы, и обычные киберпреступники.
Помимо этого, Transparent Tribe применяет и более традиционные методы доставки: исполняемые файлы, маскирующиеся под установщики, архивы и вооружённые документы. Тактики и инструменты группа меняет быстро, что затрудняет обнаружение.
Приманка на тему Kavach и связь с SideCopy
В сентябре 2021 года компания Talos сообщила об операции Armor Piercer, в рамках которой злоумышленники распространяли трояны Netwire и Warzone (он же AveMaria), используя темы, связанные с приложением «Kavach». Kavach — это решение двухфакторной аутентификации, обязательное для доступа к государственной электронной почте в Индии. Помимо этого приманки нередко маскируются под официальные рекомендации по COVID-19 — этот приём применялся Transparent Tribe и ранее.
Похожими темами и методами против индийских госслужащих пользуются и другие APT-группы — в частности, SideCopy, кампания которой была зафиксирована в июле 2021 года. Исследователи подчёркивают, что подобное совпадение тактик усложняет атрибуцию отдельных атак и требует от защитников госсектора Индии повышенной бдительности при работе с вложениями и ссылками из внешних источников.
Источник: Cybersecurity News.