Nhóm mối đe dọa dai dẳng nâng cao (APT) được gọi là Bộ lạc minh bạch đã được cho là do một chiến dịch lừa đảo mới đang diễn ra nhắm vào học sinh tại các cơ sở giáo dục khác nhau ở Ấn Độ ít nhất kể từ tháng 12 năm 2021.
“Chiến dịch mới này cũng cho thấy APT đang tích cực mở rộng mạng lưới nạn nhân của mình để bao gồm cả những người dùng dân sự”, Cisco Talos cho biết trong một báo cáo được chia sẻ với The hacker news.
Cũng được theo dõi dưới biệt danh APT36, Chiến dịch C-Major, PROJECTM, Mythic Leopard, diễn viên Bộ tộc trong suốt bị nghi ngờ là người gốc Pakistan và được biết là đã tấn công các tổ chức chính phủ và các tổ chức tư vấn ở Ấn Độ và Afghanistan bằng phần mềm độc hại tùy chỉnh như CrimsonRAT, ObliqueRAT và CapraRAT.
Nhưng việc nhắm mục tiêu vào các tổ chức giáo dục và sinh viên, lần đầu tiên được K7 Labs có trụ sở tại Ấn Độ quan sát vào tháng 5 năm 2022, cho thấy sự sai lệch so với trọng tâm thông thường của đối thủ.
Các nhà nghiên cứu của Cisco Talos nói với The Hacker News: “Mục tiêu mới nhất của lĩnh vực giáo dục có thể phù hợp với các mục tiêu chiến lược về hoạt động gián điệp của quốc gia-nhà nước”. “APTs sẽ thường xuyên nhắm mục tiêu vào các cá nhân tại các trường đại học và các tổ chức nghiên cứu kỹ thuật nhằm thiết lập quyền truy cập lâu dài để hút bớt dữ liệu liên quan đến các dự án nghiên cứu đang thực hiện.”
Các chuỗi tấn công được ghi nhận bởi công ty an ninh mạng liên quan đến việc cung cấp một maldoc đến các mục tiêu dưới dạng tệp đính kèm hoặc liên kết đến một vị trí từ xa thông qua email lừa đảo trực tuyến, cuối cùng dẫn đến việc triển khai CrimsonRAT.
Các nhà nghiên cứu cho biết: “APT này thực hiện một nỗ lực đáng kể nhằm hướng tới kỹ thuật xã hội mà nạn nhân của họ tự lây nhiễm cho chính mình”. “Các chiêu dụ email của Bộ lạc minh bạch cố gắng xuất hiện hợp pháp nhất có thể với nội dung thích hợp để thuyết phục các mục tiêu mở maldocs hoặc truy cập vào các liên kết độc hại được cung cấp.”
CrimsonRAT, còn được gọi là SEEDOOR và Scarimson, hoạt động như thiết bị cấy ghép chính được lựa chọn cho tác nhân đe dọa để thiết lập quyền truy cập lâu dài vào mạng nạn nhân cũng như lấy dữ liệu quan tâm đến máy chủ từ xa.
Nhờ kiến trúc mô-đun của nó, phần mềm độc hại cho phép những kẻ tấn công điều khiển từ xa máy bị nhiễm, lấy cắp thông tin đăng nhập của trình duyệt, ghi lại các lần nhấn phím, chụp ảnh màn hình và thực hiện các lệnh tùy ý.
Hơn nữa, một số tài liệu giả mạo này được cho là được lưu trữ trên các miền có chủ đề giáo dục (ví dụ: “studentsportal[.]co “) đã được đăng ký sớm nhất vào tháng 6 năm 2021, với cơ sở hạ tầng được vận hành bởi một nhà cung cấp dịch vụ lưu trữ web Pakistan có tên là Zain Hosting.
Các nhà nghiên cứu lưu ý: “Toàn bộ phạm vi vai trò của Zain Hosting trong tổ chức Bộ lạc minh bạch vẫn chưa được biết đến. “Đây có thể là một trong nhiều bên thứ ba Bộ lạc minh bạch sử dụng để chuẩn bị, giai đoạn và / hoặc triển khai các thành phần trong hoạt động của họ.”
.
