Η ομάδα Transparent Tribe με δεσμούς στο Πακιστάν έχει συνδεθεί με μια νέα σειρά επιθέσεων που στοχεύουν τους τομείς κυβέρνησης, άμυνας και αεροδιαστημικής της Ινδίας χρησιμοποιώντας κακόβουλο λογισμικό πολλαπλών πλατφορμών γραμμένο σε Python, Golang και Rust.
«Αυτό το σύνολο δραστηριοτήτων εκτείνεται από τα τέλη του 2023 έως τον Απρίλιο του 2024 και αναμένεται να συνεχιστεί», ανέφερε η Ομάδα Έρευνας και Πληροφοριών της BlackBerry σε μια τεχνική έκθεση που δημοσιεύθηκε νωρίτερα αυτή την εβδομάδα.
Η καμπάνια spear-phishing είναι επίσης αξιοσημείωτη για την κατάχρηση δημοφιλών διαδικτυακών υπηρεσιών όπως το Discord, το Google Drive, το Slack και το Telegram, υπογραμμίζοντας για άλλη μια φορά πώς οι χάκερ υιοθετούν νόμιμα προγράμματα στις επιθέσεις τους.
Σύμφωνα με την BlackBerry, οι στόχοι των επιθέσεων μέσω email περιλάμβαναν τρεις εταιρείες που είναι σημαντικοί μέτοχοι και πελάτες του Υπουργείου Αμυντικής Παραγωγής (DDP). Και οι τρεις εταιρείες έχουν την έδρα τους στην ινδική πόλη Μπενγκαλούρου.
Αν και τα ονόματα των εταιρειών δεν αποκαλύφθηκαν, υπάρχουν ενδείξεις ότι τα email στόχευαν την Hindustan Aeronautics Limited (HAL), μία από τις μεγαλύτερες εταιρείες αεροδιαστημικής και άμυνας στον κόσμο· την Bharat Electronics Limited (BEL), μια κρατική εταιρεία αεροδιαστημικής και αμυντικών ηλεκτρονικών· και την BEML Limited, μια δημόσια επιχείρηση που κατασκευάζει εξοπλισμό εκσκαφής.
Η ομάδα Transparent Tribe παρακολουθείται επίσης από την ευρύτερη κοινότητα της κυβερνοασφάλειας με τα ονόματα APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major και PROJECTM.
Η ομάδα, που πιστεύεται ότι είναι ενεργή τουλάχιστον από το 2013, έχει ιστορικό διεξαγωγής κυβερνοκατασκοπευτικών επιχειρήσεων εναντίον κυβερνητικών, στρατιωτικών και εκπαιδευτικών φορέων στην Ινδία, αν και έχει επίσης αναλάβει εξαιρετικά στοχευμένες εκστρατείες mobile spyware κατά θυμάτων στο Πακιστάν, το Αφγανιστάν, το Ιράκ, το Ιράν και τα Ηνωμένα Αραβικά Εμιράτα.
Επιπλέον, η ομάδα είναι γνωστή για τα πειράματά της με νέες μεθόδους διείσδυσης και έχει χρησιμοποιήσει διάφορα κακόβουλα λογισμικά κατά τη διάρκεια των ετών, επαναλαμβάνοντας πολλές φορές τις τακτικές και τα εργαλεία της για να αποφεύγει τον εντοπισμό.
Ορισμένες από τις αξιοσημείωτες οικογένειες κακόβουλου λογισμικού που χρησιμοποιεί η Transparent Tribe περιλαμβάνουν τις CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango και Tangelo, με τις δύο τελευταίες να συνδέονται με μια ομάδα ανεξάρτητων προγραμματιστών με έδρα τη Λαχόρη.
Η εταιρεία mobile security Lookout σημείωσε ήδη από το 2018 ότι “αυτοί οι προγραμματιστές είναι διαθέσιμοι για πρόσληψη” και “τουλάχιστον ένας κυβερνητικός υπάλληλος εργάζεται παράλληλα ως προγραμματιστής εφαρμογών κινητών”.
Οι αλυσίδες επιθέσεων που οργανώνονται από την ομάδα περιλαμβάνουν τη χρήση spear-phishing emails για παράδοση κακόβουλων φορτίων μέσω κακόβουλων συνδέσμων ή αρχείων ZIP, εστιάζοντας ιδιαίτερα στη διανομή ELF binaries λόγω της μεγάλης εξάρτησης της ινδικής κυβέρνησης από λειτουργικά συστήματα βασισμένα στο Linux.
Οι μολύνσεις κορυφώθηκαν με την ανάπτυξη τριών διαφορετικών εκδόσεων του GLOBSHELL, ενός εργαλείου συλλογής πληροφοριών βασισμένου σε Python, που είχε προηγουμένως τεκμηριωθεί από τη Zscaler σε σχέση με επιθέσεις που στόχευαν το περιβάλλον Linux σε κυβερνητικούς οργανισμούς της Ινδίας. Επίσης αναπτύχθηκε το PYSHELLFOX για την εξαγωγή δεδομένων από τον Mozilla Firefox.
Η BlackBerry είπε ότι ανακάλυψε επίσης εκδόσεις bash script και δυαδικά αρχεία Windows που βασίζονται σε Python που εξυπηρετούνται από τον ελεγχόμενο από τον παράγοντα απειλών τομέα “apsdelhicantt[.]in”
- swift_script.sh, μια bash version του GLOBSHELL
- Silverlining.sh, ένα ανοιχτού κώδικα command-and-control (C2) framework που ονομάζεται Sliver
- swift_uzb.sh, ένα script για να συγκεντρώνει αρχεία από τον συνδεδεμένο USB driver
- afd.exe, ένα ενδιάμεσο εκτελέσιμο αρχείο που είναι υπεύθυνο για τη λήψη των win_hta.exe και win_service.exe
- win_hta.exe and win_service.exe, δύο Windows versions του GLOBSHELL
Σε μια ένδειξη τακτικής εξέλιξης της ομάδας Transparent Tribe, οι εκστρατείες phishing που πραγματοποιήθηκαν τον Οκτώβριο του 2023 παρατηρήθηκαν να χρησιμοποιούν αρχεία εικόνας ISO για την ανάπτυξη του Python-based remote access trojan που χρησιμοποιεί το Telegram για σκοπούς C2.
Αξίζει να σημειωθεί ότι η χρήση δολωμάτων ISO για στοχοθέτηση ινδικών κυβερνητικών φορέων έχει παρατηρηθεί από την αρχή του έτους ως μέρος δύο πιθανώς σχετιζόμενων συνόλων εισβολής – μια μεθοδολογία που η καναδική εταιρεία κυβερνοασφάλειας δήλωσε ότι “είχε το χαρακτηριστικό μιας αλυσίδας επίθεσης Transparent Tribe.”
Περαιτέρω ανάλυση της υποδομής αποκάλυψε επίσης ένα πρόγραμμα “all-in-one” που έχει συνταχθεί με το Golang και έχει τη δυνατότητα να εντοπίζει και να εξάγει αρχεία με δημοφιλείς επεκτάσεις αρχείων, να λαμβάνει screenshot, να ανεβάζει και να κατεβάζει αρχεία και να εκτελεί εντολές.
Το εργαλείο κατασκοπείας, μια τροποποιημένη έκδοση ενός ανοιχτού κώδικα έργου που ονομάζεται Discord-C2, λαμβάνει οδηγίες από το Discord και παραδίδεται μέσω ενός προγράμματος λήψης ELF binary, που είναι συσκευασμένο σε ένα αρχείο ZIP.
Πηγή πληροφοριών: thehackernews.com
