Ein Bedrohungsakteur mit wahrscheinlich pakistanischem Ursprung wird für eine weitere Kampagne verantwortlich gemacht, die darauf abzielt, Ziele mit einem Windows-basierten Fernzugriffstrojaner namens CrimsonRAT mindestens seit Juni 2021 über eine Hintertür zu erreichen.
„Transparent Tribe ist eine sehr aktive APT-Gruppe auf dem indischen Subkontinent“, so die Forscher von Cisco Talos in einer Analyse, die The Hacker News vorliegt. „Ihre Hauptziele waren Regierungs- und Militärpersonal in Afghanistan und Indien. Diese Kampagne unterstützt dieses Ziel und ihr Hauptziel, sich langfristigen Zugang für Spionagezwecke zu verschaffen.“
Letzten Monat hat die fortschrittliche, hartnäckige Bedrohung ihr Malware-Toolset erweitert, um Android-Geräte mit einer Backdoor namens CapraRAT zu kompromittieren, die einen hohen „Kreuzungsgrad“ mit CrimsonRAT aufweist.
Bei den neuesten von Cisco Talos beschriebenen Angriffen werden gefälschte Domains verwendet, die legitime Regierungs- und verwandte Organisationen imitieren, um die bösartigen Nutzdaten zu übermitteln. Dazu gehören ein Python-basierter Stager, der zur Installation von .NET-basierten Aufklärungs-Tools und RATs verwendet wird, sowie ein Barebones-Implantat auf .NET-Basis, mit dem beliebiger Code auf dem infizierten System ausgeführt wird.
Transparent Tribe entwickelt nicht nur seine Einsatztaktiken und bösartigen Funktionen ständig weiter, sondern ist auch dafür bekannt, dass er auf eine Vielzahl von Verbreitungsmethoden zurückgreift, wie z. B. ausführbare Dateien, die sich als Installationsprogramme für legitime Anwendungen ausgeben, Archivdateien und waffenfähige Dokumente, um indische Unternehmen und Einzelpersonen anzugreifen.
Einer der Downloader gibt sich als Kavach (was auf Hindi „Rüstung“ bedeutet) aus, eine von der indischen Regierung vorgeschriebene Zwei-Faktor-Authentifizierungslösung, die für den Zugriff auf E-Mail-Dienste erforderlich ist, um die bösartigen Artefakte zu verbreiten.
Außerdem werden COVID-19-typische Täuschungsbilder und virtuelle Festplattendateien (auch VHDX-Dateien genannt) eingesetzt, die als Startrampe für das Abrufen zusätzlicher Nutzlasten von einem entfernten Command-and-Control-Server dienen, wie z. B. CrimsonRAT, der dazu verwendet wird, sensible Daten zu sammeln und sich langfristig Zugang zu den Netzwerken der Opfer zu verschaffen.
Während CrimsonRAT das „Hauptimplantat der Wahl“ für die Hacker ist, um Spionageaktivitäten in Kampagnen durchzuführen, die darauf abzielen, eine breite Masse von Opfern zu umgarnen, wurde die APT auch dabei beobachtet, ObliqueRAT in „sehr gezielten Angriffen auf Regierungspersonal und in Operationen einzusetzen, bei denen die Tarnung ein Hauptaugenmerk der Infektionskette der Angreifer ist.“
Ungeachtet der stetigen Diversifizierung ihres Malware-Portfolios ist dies nicht das erste Mal, dass Transparent Tribe legitime Anwendungen der indischen Regierung als Köder benutzt.
Im September 2021 deckte Cisco Talos eine sich überschneidende Kampagne mit dem Namen „Operation Armor Piercer“ auf, bei der die Trojaner Netwire und Warzone (AveMaria) über operative Dokumente und Anleitungen zur Kavach-App verbreitet wurden.
Eine weitere bemerkenswerte Aktivität ist die Kampagne eines Bedrohungsakteurs namens SideCopy vom Juli 2021, der dafür bekannt ist, dass er Regierungsmitarbeiter in Indien angreift und dabei ähnliche Themen und Taktiken wie die Transparent Tribe-Gruppe anwendet, um seine eigenen Malware-Nutzlasten zu verbreiten.
Dabei wurde ein Golang-basiertes Modul namens Nodachi abgeworfen, das dazu diente, Erkundungen durchzuführen und Dateien im Zusammenhang mit Kavach zu stehlen, um Zugangsdaten von indischen Regierungsangestellten zu erbeuten.
„Die Verwendung mehrerer Arten von Transportmitteln und neuer, maßgeschneiderter Malware, die für flexible Operationen leicht modifiziert werden kann, deutet darauf hin, dass die Gruppe aggressiv und ausdauernd ist, flink agiert und ihre Taktiken zur Infizierung von Zielen ständig weiterentwickelt“, so die Forscher.