Transparent Tribe APT IOCs - Part 2

security IOC

Исследователи ESET выявили активную кампанию Transparent Tribe, направленную в основном на индийских и пакистанских пользователей Android - предположительно военной или политической направленности. Вероятно, жертвы были нацелены на романтическую аферу с медовой ловушкой, когда с ними сначала связывались на другой платформе, а затем убеждали использовать якобы "более безопасные" приложения, которые затем заманивали установить. Скорее всего, кампания действует с июля 2022 года и распространяет бэкдоры CapraRAT по меньшей мере через два аналогичных веб-сайта, представляя их как незапятнанные версии этих безопасных приложений для обмена сообщениями.

  • Эта кампания Transparent Tribe в основном нацелена на граждан Индии и Пакистана, возможно, имеющих военное или политическое прошлое.
  • Она распространяла бэкдор CapraRAT для Android через троянизированные приложения для безопасного обмена сообщениями и звонков под брендами MeetsApp и MeetUp; бэкдор может удалять любую конфиденциальную информацию с устройств своих жертв.
  • Эти троянские приложения были доступны для загрузки с сайтов, выдающих себя за официальные центры распространения. Мы полагаем, что для заманивания жертв на эти сайты использовалась романтическая афера.
  • Плохая операционная безопасность этих приложений раскрыла PII пользователя, что позволило нам определить геолокацию 150 жертв.
  • CapraRAT размещался на домене, который разрешался на IP-адрес, ранее использовавшийся Transparent Tribe.

Indicators of Compromise

IPv4

  • 194.233.70.54
  • 198.37.123.126
  • 34.102.136.180
  • 66.235.175.91

Domains

  • meetsapp.org
  • meetup-chat.com
  • phone-drive.online
  • share-lienk.info

SHA1

  • 4c6741660afed4a0e68ef622aa1598d903c10a01
  • 542a2bc469e617252f60925ae1f3d3ab0c1f53b6
SEC-1275-1
Добавить комментарий