Исследователи из CYFIRMA обнаружили вредоносную инфраструктуру, управляемую Transparent Tribe, также известной как APT36.
Transparent Tribe APT
Эта инфраструктура включает 15 вредоносных хостов, размещенных в DigitalOcean, на которых работают C2-серверы Mythic. Для управления взломанными системами Transparent Tribe использует фреймворк для эксплуатации Mythic, изначально разработанный для «красных команд». Группа нацелилась на людей в Индии, вероятно, правительственных чиновников, распространяя файлы для входа на рабочий стол Linux, замаскированные под PDF-файлы. Эти файлы загружают и исполняют двоичные файлы Mythic Poseidon - агенты на базе языка Голанга, разработанные для платформ Linux и macOS x64, - что позволяет злоумышленникам сохранять устойчивость и уходить от обнаружения.
Transparent Tribe известна своими настойчивыми и развивающимися методами, и эта кампания демонстрирует, что они все больше нацеливаются на среды Linux, особенно те, которые используются индийским правительством. CYFIRMA отмечает, что эти данные подчеркивают необходимость повышенной бдительности и принятия мер проактивной защиты от таких сложных и адаптивных угроз.
Индикаторы компрометации
IPv4
- 137.184.211.26
- 138.197.156.131
- 139.59.109.136
- 142.93.74.10
- 143.198.64.151
- 152.42.198.168
- 152.42.245.111
- 159.203.133.189
- 159.223.0.196
- 161.35.186.219
- 165.232.118.207
- 178.128.92.166
- 206.189.134.185
- 64.23.155.109
- 64.23.213.61
MD5
- 01d9e52a4b38beb6541c5d3cae265a26
- 0d7b6773b8bbf9c000f2e4ff04c626e7
- 242f77b4e65671a55e103b8b26df46a7
- 407ebc6e6d90bef35da9fe1062773543
- 680619b5858b1a5f785c8af6065f6300
- 78604255c1386b1d62bd818a9c972e20
- 9d0f1c7825a207a2ad4acd0c9fece794
- d0a8e733d580fce3bbdad403bf9fd384
- e354cf4cc4177e019ad236f8b241ba3c
IPv4 неправильный
В чем именно он не правильный?)
адрес относится к инфраструктуре Transparent Tribe, то что не попали еще адреса, это наше упущение, сейчас поправим.)