Действующая в Пакистане компания Transparent Tribe была связана с новой серией атак, нацеленных на правительство Индии, оборонный и аэрокосмический секторы, с использованием кроссплатформенного вредоносного ПО, написанного на Python, Golang и Rust.
"Этот кластер активности охватывал период с конца 2023 года по апрель 2024 года и, как ожидается, сохранится", - говорится в техническом отчете BlackBerry Research and Intelligence Team, опубликованном ранее на этой неделе.
Фишинговая кампания также примечательна злоупотреблением популярными онлайн-сервисами, такими как Discord, Google Drive, Slack и Telegram, что еще раз подчеркивает, как злоумышленники внедряют законные программы в свои потоки атак.
По данным BlackBerry, целями атак по электронной почте были три компании, которые являются ключевыми заинтересованными сторонами и клиентами производства Министерства обороны (DDP). Все три компании, на которые направлены атаки, имеют штаб-квартиры в индийском городе Бангалор.
Хотя названия фирм не разглашаются, есть признаки того, что электронные письма были направлены против Hindustan Aeronautics Limited (HAL), одной из крупнейших аэрокосмических и оборонных компаний в мире; Bharat Electronics Limited (BEL), государственной компании аэрокосмической и оборонной электроники; и BEML Limited, предприятия государственного сектора, производящего землеройное оборудование.
Transparent Tribe также отслеживается более крупным сообществом кибербезопасности под названиями APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major и PROJECTM.
The adversarial collective, которая, как считается, действует как минимум с 2013 года, имеет послужной список проведения операций кибершпионажа против правительственных, военных и образовательных учреждений в Индии, хотя она также проводила целенаправленные кампании мобильного шпионского ПО против жертв в Пакистане, Афганистане, Ираке, Иране и Объединенных Арабских Эмиратах.
Кроме того, известно, что группа экспериментирует с новыми методами вторжения и на протяжении многих лет использует различные вредоносные программы, многократно повторяя свою тактику и инструментарий, чтобы избежать обнаружения.
Некоторые из известных семейств вредоносных программ, используемых Transparent Tribe, включают CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango и Tangelo, причем последние два связаны с группой разработчиков-фрилансеров, базирующейся в Лахоре.
Эти разработчики "доступны для найма", и "по крайней мере, один государственный служащий подрабатывает разработчиком мобильных приложений", - отмечала компания по мобильной безопасности Lookout еще в 2018 году.
Организованные группой цепочки атак включают использование фишинговых электронных писем для доставки полезных данных с использованием вредоносных ссылок или ZIP-архивов, особенно сосредоточив свои усилия на распространении двоичных файлов ELF из-за сильной зависимости индийского правительства от операционных систем на базе Linux.
Кульминацией заражения стало развертывание трех различных версий GLOBSHELL, утилиты для сбора информации на основе Python, которая была ранее задокументирована Zscaler в связи с атаками на среду Linux в индийских правительственных организациях. Также PYSHELLFOX используется для удаления данных из Mozilla Firefox.
BlackBerry заявила, что также обнаружила версии скриптов bash и двоичные файлы Windows на основе Python, которые обслуживаются из домена, контролируемого субъектом угрозы "apsdelhicantt[.]in". -
Стоит отметить, что использование ISO-приманок для атак на государственные структуры Индии наблюдается с начала года как часть двух, возможно, связанных наборов вторжений – метод работы, заявленный канадской компанией по кибербезопасности: "отличительный признак прозрачной цепочки атак Tribe".
Дальнейший анализ инфраструктуры также выявил скомпилированную на Golang программу "все в одном", которая имеет возможность находить и эксфильтрировать файлы с популярными расширениями, делать скриншоты, загружать файлы и выполнять команды.
Инструмент шпионажа, модифицированная версия проекта с открытым исходным кодом Discord-C2, получает инструкции от Discord и доставляется через загрузчик двоичных файлов ELF, упакованный в ZIP-архив.
"Transparent Tribe постоянно нацеливается на критически важные сектора, жизненно важные для национальной безопасности Индии", - заявили в BlackBerry. "Этот субъект угрозы продолжает использовать базовый набор тактик, приемов и процедур (TTP), которые они со временем адаптировали".
"Этот кластер активности охватывал период с конца 2023 года по апрель 2024 года и, как ожидается, сохранится", - говорится в техническом отчете BlackBerry Research and Intelligence Team, опубликованном ранее на этой неделе.
Фишинговая кампания также примечательна злоупотреблением популярными онлайн-сервисами, такими как Discord, Google Drive, Slack и Telegram, что еще раз подчеркивает, как злоумышленники внедряют законные программы в свои потоки атак.
По данным BlackBerry, целями атак по электронной почте были три компании, которые являются ключевыми заинтересованными сторонами и клиентами производства Министерства обороны (DDP). Все три компании, на которые направлены атаки, имеют штаб-квартиры в индийском городе Бангалор.
Хотя названия фирм не разглашаются, есть признаки того, что электронные письма были направлены против Hindustan Aeronautics Limited (HAL), одной из крупнейших аэрокосмических и оборонных компаний в мире; Bharat Electronics Limited (BEL), государственной компании аэрокосмической и оборонной электроники; и BEML Limited, предприятия государственного сектора, производящего землеройное оборудование.
Transparent Tribe также отслеживается более крупным сообществом кибербезопасности под названиями APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major и PROJECTM.
The adversarial collective, которая, как считается, действует как минимум с 2013 года, имеет послужной список проведения операций кибершпионажа против правительственных, военных и образовательных учреждений в Индии, хотя она также проводила целенаправленные кампании мобильного шпионского ПО против жертв в Пакистане, Афганистане, Ираке, Иране и Объединенных Арабских Эмиратах.
Кроме того, известно, что группа экспериментирует с новыми методами вторжения и на протяжении многих лет использует различные вредоносные программы, многократно повторяя свою тактику и инструментарий, чтобы избежать обнаружения.
Некоторые из известных семейств вредоносных программ, используемых Transparent Tribe, включают CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango и Tangelo, причем последние два связаны с группой разработчиков-фрилансеров, базирующейся в Лахоре.
Эти разработчики "доступны для найма", и "по крайней мере, один государственный служащий подрабатывает разработчиком мобильных приложений", - отмечала компания по мобильной безопасности Lookout еще в 2018 году.
Организованные группой цепочки атак включают использование фишинговых электронных писем для доставки полезных данных с использованием вредоносных ссылок или ZIP-архивов, особенно сосредоточив свои усилия на распространении двоичных файлов ELF из-за сильной зависимости индийского правительства от операционных систем на базе Linux.
Кульминацией заражения стало развертывание трех различных версий GLOBSHELL, утилиты для сбора информации на основе Python, которая была ранее задокументирована Zscaler в связи с атаками на среду Linux в индийских правительственных организациях. Также PYSHELLFOX используется для удаления данных из Mozilla Firefox.
BlackBerry заявила, что также обнаружила версии скриптов bash и двоичные файлы Windows на основе Python, которые обслуживаются из домена, контролируемого субъектом угрозы "apsdelhicantt[.]in". -
- swift_script.sh, bash-версия GLOBSHELL
- Silverlining.sh, платформа командования и управления (C2) с открытым исходным кодом под названием Sliver
- swift_uzb.sh, скрипт для сбора файлов с подключенного USB-драйвера
- afd.exe, промежуточный исполняемый файл, отвечающий за загрузку win_hta.exe и win_service.exe
- win_hta.exe и win_service.exe, две версии GLOBSHELL для Windows
Стоит отметить, что использование ISO-приманок для атак на государственные структуры Индии наблюдается с начала года как часть двух, возможно, связанных наборов вторжений – метод работы, заявленный канадской компанией по кибербезопасности: "отличительный признак прозрачной цепочки атак Tribe".
Дальнейший анализ инфраструктуры также выявил скомпилированную на Golang программу "все в одном", которая имеет возможность находить и эксфильтрировать файлы с популярными расширениями, делать скриншоты, загружать файлы и выполнять команды.
Инструмент шпионажа, модифицированная версия проекта с открытым исходным кодом Discord-C2, получает инструкции от Discord и доставляется через загрузчик двоичных файлов ELF, упакованный в ZIP-архив.
"Transparent Tribe постоянно нацеливается на критически важные сектора, жизненно важные для национальной безопасности Индии", - заявили в BlackBerry. "Этот субъект угрозы продолжает использовать базовый набор тактик, приемов и процедур (TTP), которые они со временем адаптировали".
