close

最近,Cisco Talos 發現透明部落 APT 組織正在進行一場持續的惡意活動。來自巴基斯坦的 APT 黑客對印度各地的幾家教育機構進行了惡意攻擊,以對學生造成傷害。

在這個正在進行的積極活動中,APT 還針對其受害者網絡內的平民用戶。毫無疑問,APT 網絡正在因其活動而擴大。

為了實現他們的目標,並針對政府和偽政府實體,該 APT 小組使用 RAT,例如:

☢CrimsonRAT
☢ObliqueRAT
☢CapraRAT
除了透明部落外,這個團體還有其他名字,如:

☢APT36
☢Operation C-Major
☢PROJECTM
☢Mythic Leopard

2022 年 5 月,印度的 K7 Labs 首次觀察到針對教育機構和學生的針對性攻擊。此外,最有可能的 APT 嫌疑人之一是一家巴基斯坦託管公司「ZainHosting」,據估計該公司正在與 APT 打交道。

通過使用它,Transparent Tribe 能夠部署和操作他們用來傳輸他們自己的這場運動的基礎設施系統。

APT 簡介
名稱:Transparent Tribe(透明部落)
集團產地:巴基斯坦
目標:印度和阿富汗的政府和軍事人員
使用的置入物:CrimsonRAT、ObliqueRAT、CapraRAT

感染鏈
在魚叉式網絡釣魚攻擊中,惡意文檔作為目標附件或指向遠程位置的鏈接作為包含惡意文檔的電子郵件的一部分傳遞。

在以前的透明部落活動中,惡意 VBA 宏被用作惡意文檔的一部分。提取嵌入式存檔文件的惡意文檔中包含一個宏。


然後它解壓縮文件,以便能夠執行其中包含的惡意軟件。該文件包含一個包含名為 CrimsonRAT 的惡意軟件的檔案。
CrimsonRAT 可能有幾個名字,即:

☢SEEDOOR
☢Scarimson
對於威脅參與者,CrimsonRAT 在確定使用哪種植入物時充當首選植入物。攻擊者使用這種技術來獲得對受害者網絡的長期訪問權限,並將重要的感興趣數據從受害者網絡傳輸到受威脅者控制的遠程服務器。

為了遠程控制受此惡意軟件感染的機器,攻擊者需要利用其模塊化架構。在獲得受感染機器的控制權後,攻擊者可以進行以下非法活動:-

☢竊取瀏覽器憑據
☢記錄擊鍵
☢捕獲屏幕截圖
☢執行任意命令

在整個印度次大陸,透明部落一直在積極擴張,通過擴大分銷渠道來擴大受害者人數。

除此之外,他們現在在新的競選活動中針對平民,尤其是與教育機構有關的人。由於這些高度積極的對手,組織必須保持警惕,因為他們的戰略由於環境的變化而迅速變化。

通過基於風險分析方法的綜合防禦策略,可以達到預防網絡攻擊的最佳效果。

APT 神秘的網絡攻擊與組織
如何為勒索軟件攻擊做準備?
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()