Transparent Tribe (известная также как APT36) - группа хакеров, предположительно действующая из Пакистана, уже более семи лет проводящая кибератаки на дипломатические, оборонные и исследовательские организации в Индии и Афганистане. В своих последних атаках они использовали результаты выборов в качестве приманки для индийских интернет-пользователей.
Transparent Tribe APT
Атаки начинаются с использования вируса docm с включенными макросами, который содержит полезную нагрузку под названием "Crimson RAT" и файл с результатами выборов. Этот файл затем копируется в специальную папку в Appdata и декодируется с использованием базы данных zip.
Crimson RAT - это вредоносная программа, которая после запуска добавляет себя в реестр системы и через некоторое время пытается подключиться к серверу-контроллеру с заданным доменным и IP-адресом. После подключения RAT получает команды с сервера C2 и может выполнять различные действия, такие как получение информации о системе, создание ключей реестра, запись данных в файлы, снятие скриншотов экрана и передача их злоумышленникам.
Проявление кибератаки Transparent Tribe под видом документа с результатами выборов в индийском регионе Лок Сабха подчеркивает хитроумные и сложные стратегии, используемые этой группой.
Indicators of Compromise
IPv4
- 94.72.105.227
Domains
- waqers.duckdns.com
MD5
- 4473b78e67067a9299227cc02b8e28e2
- 7a18b1bf9b07726327ba50e549764731
- a54c435bdbc17608fa0b8826bbe9936d
- ad90e16ea4a9fe11525da7669cb4b8ee
- d6b38a2272876d039d48b46aa874e7b9
- da2331ac3e073164d54bcc5323cf0250
- e6f4bb8ed235f43cb738447fbf1757c3
- f49375748b279565b5aed83d9ee01eb2
