Ngày 13 tháng 4 năm 2023Ravie Lakshmanan Phần mềm độc hại / Tấn công mạng
Các Bộ tộc minh bạch tác nhân đe dọa đã được liên kết với một bộ tài liệu Microsoft Office được vũ khí hóa trong các cuộc xâm nhập nhằm vào ngành giáo dục Ấn Độ để triển khai một phần mềm độc hại được duy trì liên tục có tên là Crimson RAT.
Mặc dù nhóm mối đe dọa bị nghi ngờ có trụ sở tại Pakistan được biết là nhắm mục tiêu vào các tổ chức quân sự và chính phủ ở nước này, nhưng các hoạt động kể từ đó đã được mở rộng để bao gồm cả ngành giáo dục.
Nhóm tin tặc, còn được gọi là APT36, Operation C-Major, PROJECTM và Mythic Leopard, đã hoạt động từ năm 2013. Các tổ chức giáo dục đã hứng chịu các cuộc tấn công của kẻ thù kể từ cuối năm 2021.
Nhà nghiên cứu Aleksandar Milenkoski của SentinelOne cho biết trong một báo cáo được chia sẻ với The Hacker News: “Crimson RAT là một phần chính trong kho phần mềm độc hại của nhóm mà kẻ thù sử dụng trong các chiến dịch của mình.
Phần mềm độc hại .NET có chức năng trích xuất tệp và dữ liệu hệ thống sang máy chủ do tác nhân kiểm soát. Nó cũng được xây dựng với khả năng chụp ảnh màn hình, chấm dứt các tiến trình đang chạy, tải xuống và thực thi các tải trọng bổ sung để ghi lại các lần gõ phím và đánh cắp thông tin đăng nhập của trình duyệt.
Tháng trước, ESET đã gán cho Bộ lạc trong suốt một chiến dịch gián điệp mạng nhằm lây nhiễm cho người dùng Android ở Ấn Độ và Pakistan bằng một cửa hậu có tên là CapraRAT.
Một phân tích các mẫu Crimson RAT đã tiết lộ sự hiện diện của từ “Wibemax”, chứng thực một báo cáo trước đây của Fortinet. Mặc dù tên này khớp với tên của một công ty phát triển phần mềm Pakistan, nhưng vẫn chưa rõ liệu nó có chia sẻ bất kỳ mối liên hệ trực tiếp nào với tác nhân đe dọa hay không.
Điều đó nói rằng, cần lưu ý rằng Bộ lạc minh bạch trong quá khứ đã tận dụng cơ sở hạ tầng được điều hành bởi một nhà cung cấp dịch vụ lưu trữ web có tên Zain Hosting trong các cuộc tấn công nhắm vào lĩnh vực giáo dục Ấn Độ.
Các tài liệu được SentinelOne phân tích có nội dung và tên theo chủ đề giáo dục như bài tập hoặc Bài tập-số 10, đồng thời sử dụng mã macro độc hại để khởi chạy Crimson RAT. Một phương pháp khác liên quan đến việc sử dụng nhúng OLE để tạo phần mềm độc hại.
Milenkoski giải thích: “Các tài liệu độc hại thực hiện kỹ thuật này yêu cầu người dùng nhấp đúp vào một thành phần tài liệu. “Những tài liệu này được Transparent Tribe phân phối thường hiển thị một hình ảnh (đồ họa ‘Xem tài liệu') cho biết nội dung tài liệu đã bị khóa.”
Đến lượt nó, điều này đánh lừa người dùng nhấp đúp vào đồ họa để xem nội dung, do đó kích hoạt gói OLE lưu trữ và thực thi Crimson RAT giả dạng quá trình cập nhật.
Các biến thể Crimson RAT cũng đã được quan sát thấy trì hoãn việc thực thi của chúng trong một khoảng thời gian cụ thể kéo dài từ một phút đến bốn phút, chưa kể đến việc triển khai các kỹ thuật che giấu khác nhau bằng các công cụ như Crypto Obfuscator và Eazfuscator.
Milenkoski cho biết: “Transparent Tribe là một tác nhân đe dọa có động cơ cao và dai dẳng, thường xuyên cập nhật kho phần mềm độc hại, sách hướng dẫn hoạt động và các mục tiêu của mình”. “Các chiến lược nhắm mục tiêu và hoạt động liên tục thay đổi của Bộ lạc trong suốt đòi hỏi sự cảnh giác liên tục để giảm thiểu mối đe dọa do nhóm gây ra.”
