據(jù)The Hacker News消息，具有巴基斯坦國家背景的，名為“透明部落(Transparent Tribe)”的APT組織，正在利用一個基于Windows的CrimsonRAT遠程訪問木馬大肆發(fā)起網(wǎng)絡(luò)攻擊活動，目標直指印度官員。

思科 Talos安全研究人員表示，“自2021年6月以來，透明部落在印度網(wǎng)絡(luò)空間中一直非常活躍，他們攻擊的主要目標是阿富汗和印度的政府官員、軍事人員等，此次攻擊活動讓他們離這一目標更近一步，且已經(jīng)建立起了向核心目標發(fā)起長期網(wǎng)絡(luò)攻擊的準備。”

2016年2月，ProofPoint首次發(fā)現(xiàn)了透明部落APT組織，其IP地址位于巴基斯坦，具有明顯的政府色彩。該組織運用了網(wǎng)絡(luò)釣魚、水坑攻擊、遠程訪問木馬等多重復(fù)雜手段，向印度駐沙特阿拉伯和哈薩克斯坦使館的外交官和軍事人員發(fā)起攻擊。

如今，透明部落再一次活躍了起來。2022年2月，高級持續(xù)性威脅擴展了其惡意軟件工具集，通過名為CapraRAT的后門入侵 Android 設(shè)備，該后門與透明部落使用的CrimsonRAT木馬高度“交叉”。

在報告中，思科Talos詳述此次攻擊活動，在新一系列的攻擊中，黑客利用“偽裝成合法政府和相關(guān)組織的虛假域來傳播惡意軟件的有效載荷，包括一個基于python的存儲器，用于安裝基于.NET的網(wǎng)絡(luò)偵察工具和RATs，以及一個基于的.NET的植入木馬，以便在受感染的系統(tǒng)上運行任意代碼?！?/p>

除了不斷優(yōu)化部署策略和惡意功能外，透明部落還大力發(fā)展各種交付方法，例如模擬合法應(yīng)用程序安裝程序、存檔文件和武器化文檔的可執(zhí)行文件，以便更好地針對印度官員和軍事人員。

其中一個下載器可執(zhí)行文件偽裝成 Kavach(在印地語中意為“盔甲”)，這是一種印度政府強制要求的兩因素身份驗證解決方案，用于訪問電子郵件服務(wù)，以傳遞惡意工件。

透明部落還使用了以 COVID-19為主題的誘餌圖像和虛擬硬盤文件(又名VHDX文件)，它們被用于遠程命令和控制服務(wù)器(例如 CrimsonRAT)，用于收集敏感數(shù)據(jù)并建立對受害者網(wǎng)絡(luò)的長期訪問權(quán)限。

思科Talos安全研究人員表示：“透明部落正在使用多種類型的運載工具，和可以輕松修改以進行敏捷操作的新型定制惡意軟件，表明該組織具有攻擊性、持久性、敏捷性，更重要的是，他們還在不斷進行發(fā)展和優(yōu)化，值得引起相關(guān)人員的警惕?！?/p>

參考來源：https://thehackernews.com/2022/03/new-hacking-campaign-by-transparent.html