Haker Transparent Tribe iz Pakistana povezan je sa novim nizom napada usmjerenih na indijske vladine, odbrambene i zrakoplovne sektore koristeći višeplatformski malver napisan na Python, Golang i Rust.
„Ova grupa aktivnosti se prostirala od kraja 2023. do aprila 2024. i očekuje se da će se nastaviti“, navodi BlackBerry istraživački i obavještajni tim u tehničkom izvještaju objavljenom ranije ove sedmice.
Kampanja krađe identiteta je takođe značajna po zloupotrebi popularnih online usluga kao što su Discord, Google Drive, Slack i Telegram, još jednom podvlačeći kako hakeri usvajaju legitimne programe u svoje tokove napada.
Prema BlackBerryju, mete napada baziranih na e-pošti su bile tri kompanije koje su ključni dionici i klijenti Ministarstva odbrane proizvodnje ( DDP ). Sve tri ciljane kompanije imaju sjedište u indijskom gradu Bengaluru.
Iako imena firmi nisu otkrivena, indicije su da su poruke e-pošte bile usmerene na Hindustan Aeronautics Limited ( HAL ), jednu od najvećih kompanija za vazduhoplovstvo i odbranu na svetu; Bharat Electronics Limited ( BEL ), državna kompanija za vazduhoplovnu i odbrambenu elektroniku; i BEML Limited , preduzeće iz javnog sektora koje proizvodi opremu za zemljane radove.
Transparent Tribe takođe prati veća zajednica za cyber sigurnost pod imenima APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major i PROJECTM.
Suparnički kolektiv, za koji se vjeruje da je aktivan najmanje 2013. godine, ima iskustvo u vođenju operacija cyber špijunaže protiv vladinih, vojnih i obrazovnih entiteta u Indiji, iako je takođe poduzeo visoko ciljane kampanje špijunskog softvera za mobilne uređaje protiv žrtava u Pakistanu, Afganistanu, Irak, Iran i Ujedinjeni Arapski Emirati.
Dalje, poznato je da grupa eksperimentira s novim metodama upada i godinama je prolazila kroz različite zlonamjerne programe, ponavljajući svoje taktike i alate mnogo puta kako bi izbjegla otkrivanje.
Neke od značajnih porodica zlonamjernog softvera koje koristi Transparent Tribe uključuju CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango i Tangelo, pri čemu su posljednja dva povezana sa grupom slobodnih programera sa sjedištem iz Lahorea.
Ovi programeri su “dostupni za iznajmljivanje” i “najmanje jedan državni službenik radi kao programer mobilnih aplikacija”, primetila je kompanija za mobilnu sigurnost Lookout još 2018.
Lanci napada koje je postavila grupa uključuju upotrebu e-mailova za krađu identiteta za isporuku korisnih podataka koristeći zlonamjerne veze ili ZIP arhive, posebno fokusirajući svoje napore na distribuciju ELF binarnih datoteka zbog velikog oslanjanja indijske vlade na operativne sisteme zasnovane na Linuxu.
Zaraze su kulminirale uvođenjem tri različite verzije GLOBSHELL-a, uslužnog programa za prikupljanje informacija baziranog na Pythonu koji je Zscaler ranije dokumentirao u vezi s napadima usmjerenim na Linux okruženje unutar indijskih vladinih organizacija. Takođe je raspoređen PYSHELLFOX za eksfiltriranje podataka iz Mozilla Firefox-a.
BlackBerry je takođe otkrio da se verzije bash skripte i binarne datoteke Windows bazirane na Pythonu upošljavaju sa domene “apsdelhicantt[.]in” koju kontroliše haker:
- swift_script.sh , bash verzija GLOBSHELL-a
- Silverlining.sh , open-source okvir za komandu i kontrolu (C2) pod nazivom Sliver
- swift_uzb.sh , skripta za prikupljanje datoteka sa povezanog USB drajvera
- afd.exe , posredni izvršni fajl odgovoran za preuzimanje win_hta.exe i win_service.exe
- win_hta.exe i win_service.exe , dvije Windows verzije GLOBSHELL-a
Kao znak taktičke evolucije Transparent Tribe-a, phishing kampanje organizovane u oktobru 2023. primjećene su kako koriste ISO slike za implementaciju trojanca za daljinski pristup baziran na Pythonu koji koristi Telegram za C2 svrhe.
Daljnja infrastrukturna analiza je takođe otkrila Golang-kompilirani program “sve-u-jednom” koji ima mogućnost da pronađe i eksfiltrira datoteke sa popularnim ekstenzijama datoteka, napravi snimke ekrana, otpremi i preuzme datoteke i izvrši naredbe.
Alat za špijunažu, modificirana verzija projekta otvorenog koda Discord-C2 , prima upute od Discorda i isporučuje se putem ELF binarnog preuzimača spakovanog u ZIP arhivu.
“Transparent Tribe je uporno ciljao kritične sektore od vitalnog značaja za nacionalnu sigurnost Indije”, rekao je BlackBerry. “Ovaj haker nastavlja da koristi osnovni skup taktika, tehnika i procedura (TTP), koje su vremenom prilagođavali.”
Izvor:The Hacker News
