Die als Transparent Tribe bekannte APT-Gruppe (Advanced Persistent Threat) wird für eine neue Phishing-Kampagne verantwortlich gemacht, die mindestens seit Dezember 2021 auf Studierende an verschiedenen Bildungseinrichtungen in Indien abzielt.
„Diese neue Kampagne deutet auch darauf hin, dass die APT ihr Opfernetzwerk aktiv auf zivile Nutzer ausweitet“, so Cisco Talos in einem Bericht, der The Hacker News vorliegt.
Der Transparent Tribe-Akteur, der auch unter den Namen APT36, Operation C-Major, PROJECTM und Mythic Leopard bekannt ist, hat vermutlich pakistanische Wurzeln und ist dafür bekannt, Regierungseinrichtungen und Think Tanks in Indien und Afghanistan mit maßgeschneiderter Malware wie CrimsonRAT, ObliqueRAT und CapraRAT anzugreifen.
Doch die Angriffe auf Bildungseinrichtungen und Studierende, die erstmals im Mai 2022 von dem indischen Unternehmen K7 Labs beobachtet wurden, deuten auf eine Abweichung vom typischen Fokus des Gegners hin.
„Die jüngsten Angriffe auf den Bildungssektor könnten mit den strategischen Spionagezielen des Staates übereinstimmen“, so die Talos-Forscher von Cisco gegenüber The Hacker News. „APTs haben es häufig auf Personen an Universitäten und technischen Forschungseinrichtungen abgesehen, um sich langfristig Zugang zu verschaffen und Daten über laufende Forschungsprojekte abzuschöpfen.“
Bei den von der Cybersecurity-Firma dokumentierten Angriffsketten wird den Zielpersonen entweder ein Maldoc als Anhang oder ein Link zu einem entfernten Standort über eine Spear-Phishing-E-Mail zugestellt, was schließlich zum Einsatz von CrimsonRAT führt.
„Diese APT unternimmt einen erheblichen Aufwand, um ihre Opfer durch Social Engineering dazu zu bringen, sich selbst zu infizieren“, so die Forscher. „Die E-Mail-Köder von Transparent Tribes versuchen, so seriös wie möglich zu erscheinen und die Zielpersonen davon zu überzeugen, die Maldocs zu öffnen oder die angegebenen bösartigen Links zu besuchen“.
CrimsonRAT, auch bekannt als SEEDOOR und Scarimson, fungiert als das bevorzugte Implantat der Bedrohungsakteure, um sich langfristig Zugang zu den Netzwerken der Opfer zu verschaffen und interessante Daten auf einen entfernten Server zu schleusen.
Dank seiner modularen Architektur ermöglicht es der Schädling den Angreifern, den infizierten Rechner fernzusteuern, Browser-Anmeldedaten zu stehlen, Tastatureingaben aufzuzeichnen, Screenshots zu machen und beliebige Befehle auszuführen.
Darüber hinaus sollen einige dieser Täuschungsdokumente auf Domains zum Thema Bildung gehostet werden (z. B. „studentsportal[.]co“), die bereits im Juni 2021 registriert wurden und deren Infrastruktur von einem pakistanischen Webhosting-Anbieter namens Zain Hosting betrieben wird.
„Der gesamte Umfang der Rolle von Zain Hosting in der Transparent Tribe-Organisation ist noch unbekannt“, so die Forscher. „Wahrscheinlich handelt es sich um einen von vielen Drittanbietern, die Transparent Tribe für die Vorbereitung, Durchführung und/oder den Einsatz von Komponenten ihrer Operation einsetzt.