据TheHackerNews报道,一个名为“透明部落(TransparentTribe)”的巴基斯坦民族背景的APT组织正在使用基于Windows的CrimsonRAT远程访问木马肆意发起网络攻击。袭击,针对印度官员。思科Talos安全研究人员表示,“自2021年6月以来,透明部落在印度网络空间非常活跃,他们的主要目标是阿富汗和印度的政府官员、军事人员等。这一目标又近了一步,已经做好了对核心目标发起长期网络攻击的准备工作。”2016年2月,ProofPoint首次发现了透明部落APT组织,其IP地址位于巴基斯坦,具有明显的政府色彩。该组织利用网络钓鱼、水坑攻击、远程访问木马等多种复杂手段,对印度驻沙特阿拉伯和哈萨克斯坦大使馆的外交官和军方人员进行了攻击。今天,透明部落再次活跃起来。2022年2月,高级PersistentThreat扩展了其恶意软件工具集,通过名为CapraRAT的后门入侵Android设备,该后门与TransparentTribe使用的CrimsonRAT特洛伊木马高度“交叉”。在新的一系列攻击中,CiscoTalos在一份报告中详细介绍了该活动“伪装成合法政府和相关组织的假域名传播恶意软件有效负载,包括Python-based安装基于.NET的网络侦察工具和RAT,以及基于.NET的木马在被感染系统上运行任意代码。”除了不断优化部署策略和恶意功能,透明部落还在大力开发各种投放可执行文件模拟合法应用程序安装程序、档案和武器化文件等方法,以更好地针对印度官员和军事人员。其中一个下载器可执行文件伪装成Kavach(在印地语中意为“盔甲”),这是印度政府强制要求用于访问电子邮件服务的双因素身份验证解决方案,以传递恶意工件。TransparentTribe还使用了以COVID-19为主题的诱饵图像和虚拟硬盘文件(又名VHDX文件),用于远程命令和控制服务器(如CrimsonRAT)以收集敏感数据并建立受害者长期访问网络.思科Talos安全研究人员表示:“透明部落正在使用多种类型的交付工具,以及可以轻松修改以进行敏捷操作的新型自定义恶意软件,表明该组织具有进取心、持久力、敏捷性,更重要的是,它们是仍在发展优化中,值得引起相关人员的警惕。”参考来源:https://thehackernews.com/2022/03/new-hacking-campaign-by-transparent.html
