Een dreigingsactor van waarschijnlijk Pakistaanse afkomst is sinds ten minste juni 2021 toegeschreven aan weer een andere campagne die is ontworpen om doelwitten van belang te backdoor met een Windows-gebaseerde trojan voor externe toegang genaamd CrimsonRAT.
“Transparent Tribe is een zeer actieve APT-groep geweest op het Indiase subcontinent”, onderzoekers van Cisco Talos zei in een analyse gedeeld met The Hacker News. “Hun primaire doelen waren regerings- en militair personeel in Afghanistan en India. Deze campagne bevordert deze gerichtheid en hun centrale doel om op lange termijn toegang te krijgen voor spionage.”
Vorige maand breidde de geavanceerde aanhoudende dreiging zijn malwaretoolset uit om Android-apparaten te compromitteren met een achterdeur genaamd CapraRAT die een hoge “graad van crossover” vertoont met CrimsonRAT.
De nieuwste reeks aanvallen die door Cisco Talos zijn beschreven, omvat het gebruik van nepdomeinen die legitieme overheden en aanverwante organisaties nabootsen om de kwaadaardige payloads te leveren, waaronder een op Python gebaseerde stager die wordt gebruikt om op .NET gebaseerde verkenningstools en RAT’s te installeren, evenals een barebone .NET-gebaseerd implantaat om willekeurige code op het geïnfecteerde systeem uit te voeren.
Naast het voortdurend evolueren van hun implementatietactieken en kwaadaardige functionaliteiten, is het bekend dat Transparent Tribe vertrouwt op een verscheidenheid aan leveringsmethoden, zoals uitvoerbare bestanden die zich voordoen als installatieprogramma’s van legitieme applicaties, archiefbestanden en bewapende documenten om Indiase entiteiten en individuen te targeten.
Een van de uitvoerbare bestanden van de downloader doet zich voor als Kavach (wat ‘pantser’ betekent in het Hindi), een door de Indiase overheid opgelegde tweefactorauthenticatie-oplossing die vereist is voor toegang tot e-mailservices, om de kwaadaardige artefacten te leveren.
Er zijn ook lokafbeeldingen met COVID-19-thema en virtuele harde schijf bestanden (ook bekend als VHDX-bestanden) die worden gebruikt als startpunt voor het ophalen van extra payloads van een externe command-and-control-server, zoals de CrimsonRAT, die wordt gebruikt om gevoelige gegevens te verzamelen en langdurige toegang tot slachtoffernetwerken tot stand te brengen.
“Het gebruik van meerdere soorten bezorgingsvoertuigen en nieuwe op maat gemaakte malware die gemakkelijk kan worden aangepast voor agile operaties, geeft aan dat de groep agressief en volhardend is, wendbaar en voortdurend hun tactieken ontwikkelt om doelen te infecteren”, aldus de onderzoekers.
