Chiến dịch tấn công mới của tin tặc bộ lạc minh bạch nhắm mục tiêu vào các quan chức Ấn Độ

Một kẻ đe dọa có khả năng là người gốc Pakistan đã được cho là đã tham gia vào một chiến dịch khác được thiết kế để tấn công các mục tiêu quan tâm bằng một loại trojan truy cập từ xa dựa trên Windows có tên là CrimsonRAT kể từ ít nhất là vào tháng 6 năm 2021.

Các nhà nghiên cứu của Cisco Talos cho biết trong một phân tích được chia sẻ với The Hacker News: “Bộ lạc minh bạch là một nhóm APT hoạt động tích cực ở tiểu lục địa Ấn Độ. “Mục tiêu chính của họ là chính phủ và nhân viên quân sự ở Afghanistan và Ấn Độ. Chiến dịch này thúc đẩy việc nhắm mục tiêu này và mục tiêu trọng tâm của họ là thiết lập quyền truy cập lâu dài cho hoạt động gián điệp.”

Tháng trước, mối đe dọa dai dẳng nâng cao đã mở rộng bộ của nó để xâm nhập các thiết bị Android với một cửa sau có tên CapraRAT thể hiện “mức độ chéo” cao với CrimsonRAT.

Tập hợp các cuộc tấn công mới nhất do Cisco Talos trình bày chi tiết liên quan đến việc sử dụng các miền giả mạo bắt chước chính phủ hợp pháp và các tổ chức có liên quan để cung cấp các tải trọng độc hại, bao gồm một máy đếm dựa trên Python được sử dụng để cài đặt các công cụ do thám và RAT dựa trên .NET cũng như các công cụ hỗ trợ Cấy ghép dựa trên .NET để chạy mã tùy ý trên hệ thống bị nhiễm.

Xem tiếp:   Tin tặc bị bỏ tù vì ăn cắp hàng triệu đô la tiền điện tử bằng cách cướp SIM

Tin tặc bộ lạc minh bạch

Bên cạnh việc liên tục phát triển các chiến thuật triển khai và các chức năng độc hại, Bộ lạc minh bạch còn dựa vào nhiều phương thức phân phối, chẳng hạn như tệp thực thi mạo danh người cài đặt các ứng dụng hợp pháp, tệp lưu trữ và tài liệu vũ khí hóa để nhắm mục tiêu đến các thực thể và cá nhân người Ấn Độ.

Một trong những tệp thực thi của trình tải xuống giả dạng Kavach (có nghĩa là “áo giáp” trong tiếng Hindi), một giải pháp xác thực hai yếu tố do chính phủ Ấn Độ ủy quyền để truy cập các dịch vụ email, nhằm phân phối các hiện vật độc hại.

Cũng được đưa vào sử dụng là các hình ảnh mồi nhử theo chủ đề COVID-19 và các tệp đĩa cứng ảo (hay còn gọi là tệp VHDX) được sử dụng làm bệ khởi động để truy xuất các tải bổ sung từ máy chủ điều khiển và lệnh từ xa, chẳng hạn như CrimsonRAT, được sử dụng để thu thập dữ liệu nhạy cảm và thiết lập quyền truy cập lâu dài vào mạng nạn nhân.

Các nhà nghiên cứu cho biết: “Việc sử dụng nhiều loại phương tiện giao hàng và phần mềm độc hại đặt riêng có thể dễ dàng sửa đổi cho các hoạt động nhanh nhẹn cho thấy rằng nhóm này rất hung hãn và bền bỉ, nhanh nhẹn và không ngừng phát triển các chiến thuật của chúng để lây nhiễm mục tiêu,” các nhà nghiên cứu cho biết.

Xem tiếp:   Microsoft thu giữ 42 tên miền web độc hại được sử dụng bởi tin tặc Trung Quốc

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …