Cisco Talos недавно обнаружила продолжающуюся кампанию, проводимую APT-группой Transparent Tribe против студентов различных учебных заведений Индии. Как правило, эта APT-группа нацелена на правительственные (государственные служащие, военнослужащие) и псевдоправительственные организации (аналитические центры, конференции и т.д.), используя трояны удаленного доступа (RAT), такие как CrimsonRAT и ObliqueRAT.
Однако в этой новой кампании, датируемой декабрем 2021 года, противник нацелился на студентов университетов и колледжей Индии. Эта новая кампания также свидетельствует о том, что APT активно расширяет сеть своих жертв, включая гражданских пользователей.
Для осуществления шпионажа против своих целей группа в основном использует три семейства вредоносных программ на базе Windows:
CrimsonRAT - это имплантат на базе .NET, который является предпочтительным вредоносным ПО группы, по крайней мере, с 2020 года. Многочисленные кампании Transparent Tribe с использованием CrimsonRAT на протяжении многих лет свидетельствуют о постоянном развитии возможностей этого имплантата.
ObliqueRAT - это имплантат на базе C/C++, обнаруженный компанией Talos в начале 2020 года. ObliqueRAT в основном предназначен для гиперцелевых атак на правительственный персонал и в операциях, где скрытность является основным фокусом цепочки заражения злоумышленников. Этот имплантат также постоянно эволюционирует в тактике развертывания и вредоносных функциях с течением времени.
Пользовательские вредоносные программы, используемые Transparent Tribe, состоят из легко и быстро развертываемых загрузчиков, дропперов и легких RAT с ограниченными возможностями в отличие от CrimsonRAT и ObliqueRAT.
Indicators of Compromise
IPv4
- 192.3.99.68
- 198.37.123.126
Domains
- centralink.online
- cloud-drive.geo-news.tv
- cloud-drive.store
- drive-phone.geo-news.tv
- drive-phone.online
- geo-news.tv
- in.statefinancebank.com
- nsdrive-phone.online
- phone-drive.online.geo-news.tv
- statefinancebank.com
- studentsportal.co
- studentsportal.geo-news.tv
- studentsportal.live
- studentsportal.live.geo-news.tv
- studentsportal.website
- sunnyleone.hopto.org
- swissaccount.ddns.net
- user-onedrive.geo-news.tv
- user-onedrive.live
SHA256
- 0d61d5fe8dbf69c6e61771451212fc8e587d93246bd866adf1031147d6d4f8c2
- 14ee2e3a9263bab359bc19050567d0dbd6371c8c0a7c6aeba71adbf5df2fc35b
- 28390e3ea8a547f05ca08551f484292d46398a2b38fd4aae001ac7d056c5abc0
- 388f212dfca2bfb5db0a8b9958a43da6860298cdd4fcd53ed2c75e3b059ee622
- 79aee357ea68d8f66b929ba2e57465eaee4d965b0da5001fe589afe1588874e3
- 8b786784c172c6f8b241b1286a2054294e8dc2c167d9b4daae0e310a1d923ba0
- 8c1a5052bf3c1b33aff9e249ae860ea1435ce716d5b5be2ec3407520507c6d37
- 8c9b0fd259e7f016f53be8edc53fe5f908b48ae691e21f0f820da11429e595d8
- 9159d4e354218870461c96bedcc7b5b026f872d30235bb4536cc4a5ce4154725
- b3f8e026f39056ec5e66700e03eeaf57454ee9c0bc1c719d74e10f5702957305
- b4819738a277090405f0b5bbcb31d5dd3115f7026401e5231df727da0443332a
- b614436bf9461b80384bae937d699f8c3886bcc65b907e0c8126b4df59ea8cdb
- bdeb9d019a02eb49c21f7c04169406ac586d630032a059f63c497951303b8d00
- e2cf71c78d198fdc0017b7bfd6ce8115301174302b3eaaf50cfc384db96bc573
- f3a1ac021941b481ac7e2335b74ebf1e44728e8917381728f1f5b390c6f34706
- fc34f9087ab199d0bac22aa97de48e5592dbf0784342b9ecd01b4a429272ab5b