O grupo focado no Paquistão, Transparent Tribe, foi vinculado a um novo conjunto de ataques visando o governo indiano, setores de defesa e aeroespacial usando malwares de plataforma cruzada escritos em Python, Golang e Rust.
Essa série de atividades ocorreu de 2023 até abril de 2024 e é esperada para continuar. A equipe de Pesquisa e Inteligência da BlackBerry divulgou um relatório técnico na semana passada.
A campanha de spear-phishing também é notável pelo uso de serviços online populares como Discord, Google Drive, Slack e Telegram, destacando mais uma vez como atores de ameaças estão incorporando programas legítimos em seus fluxos de ataque.
De acordo com a BlackBerry, os alvos dos ataques baseados em e-mails incluíram três empresas que são partes interessadas e clientes cruciais do Departamento de Produção de Defesa (DDP). Todas as três empresas têm sede na cidade indiana de Bengaluru.
Apesar de não terem sido divulgados os nomes das empresas, indicações apontam que as mensagens de e-mail visaram a Hindustan Aeronautics Limited (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; Bharat Electronics Limited (BEL), uma empresa governamental de eletrônicos aeroespaciais e de defesa; e BEML Limited, uma empresa estatal que fabrica equipamentos de movimentação de terra.
O Transparent Tribe também é rastreado pela comunidade de cibersegurança com os nomes APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.
O coletivo adversário, ativo desde pelo menos 2013, tem um histórico de operações de espionagem cibernética contra entidades governamentais, militares e educacionais na Índia, embora também tenha realizado campanhas altamente direcionadas de spyware móvel contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.
Além disso, o grupo é conhecido por experimentar novos métodos de intrusão e tem alternado entre diferentes malwares ao longo dos anos, iterando em suas táticas e ferramentas várias vezes para evitar a detecção.
Algumas das famílias de malwares notáveis utilizadas pelo Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, sendo esses dois últimos vinculados a um grupo de desenvolvedores freelancers sediados em Lahore.
Esses desenvolvedores estão “disponíveis para contratação” e “pelo menos um funcionário do governo trabalha como desenvolvedor de aplicativos móveis”, observou a empresa de segurança móvel Lookout em 2018.
As cadeias de ataques montadas pelo grupo envolvem o uso de e-mails de spear-phishing para fornecer payloads usando links maliciosos ou arquivos ZIP, focando especialmente na distribuição de binários ELF devido à grande dependência do governo indiano em sistemas operacionais baseados em Linux.
As infecções culminaram na implantação de três versões diferentes de GLOBSHELL, um utilitário de coleta de informações baseado em Python que foi documentado anteriormente em conexão com ataques visando o ambiente Linux em organizações governamentais indianas.
Também foi implantado o PYSHELLFOX para exfiltrar dados do Mozilla Firefox.
A BlackBerry também descobriu versões de script bash e binários do Windows baseados em Python sendo servidos a partir do domínio controlado pelos atores da ameaça “apsdelhicantt[.]in” –
– O swift_script.sh, uma versão bash do GLOBSHELL
– Silverlining.sh, um framework de controle de comando de código aberto chamado Sliver
– swift_uzb.sh, um script para coletar arquivos de um driver de USB conectado
– afd.exe, um executável intermediário responsável por baixar win_hta.exe e win_service.exe
– win_hta.exe e win_service.exe, duas versões do GLOBSHELL para Windows
Como um sinal da evolução tática do Transparent Tribe, campanhas de phishing orquestradas em outubro de 2023 foram observadas fazendo uso de imagens ISO para implantar um trojan de acesso remoto baseado em Python que usa o Telegram para fins de controle e comando.
Vale ressaltar que o uso de iscas ISO para visar entidades governamentais indianas tem sido uma abordagem observada desde o início do ano como parte de dois conjuntos de intrusões possivelmente relacionados – um modus operandi que a empresa canadense de cibersegurança afirmou “ter as características de uma cadeia de ataque do Transparent Tribe”.
Análises adicionais da infraestrutura também descobriram um programa compilado Golang “tudo-em-um” que tem a capacidade de encontrar e exfiltrar arquivos com extensões populares, tirar capturas de tela, enviar e baixar arquivos e executar comandos.
A ferramenta de espionagem, uma versão modificada de um projeto de código aberto Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader de binário ELF empacotado em um arquivo ZIP.
“O Transparent Tribe persiste em visar setores críticos vitais para a segurança nacional da Índia”, disse a BlackBerry. “Este ator de ameaça continua a utilizar um conjunto central de táticas, técnicas e procedimentos (TTPs), que têm sido adaptados ao longo do tempo.”
