O ator Transparent Tribe, com ligações no Paquistão, foi vinculado a um novo conjunto de ataques direcionados aos setores governamentais, de defesa e aeroespacial da Índia, utilizando malware multiplataforma escrito em Python, Golang e Rust.
Essa atividade ocorreu de 2023 até abril de 2024 e é esperada que continue, conforme relatado pela Equipe de Pesquisa e Inteligência da BlackBerry em um relatório técnico publicado na semana passada.
A campanha de spear-phishing também se destaca pelo abuso de serviços online populares como Discord, Google Drive, Slack e Telegram, mais uma vez enfatizando como os atores de ameaças estão incorporando programas legítimos em seus fluxos de ataque.
De acordo com a BlackBerry, os alvos desses ataques via e-mail incluem três empresas que são partes interessadas cruciais e clientes do Departamento de Produção de Defesa (DDP). As três empresas alvo têm sede na cidade indiana de Bangalore.
Embora não tenha revelado os nomes das empresas, há indícios de que as mensagens de e-mail visavam a Hindustan Aeronautics Limited (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; Bharat Electronics Limited (BEL), uma empresa estatal de eletrônicos de defesa e aeroespacial; e BEML Limited, uma empresa de serviço público que fabrica equipamentos de movimentação de terras.
O grupo Transparent Tribe também é rastreado pela comunidade de cibersegurança com os nomes APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.
Esse coletivo adversário, ativo desde pelo menos 2013, possui um histórico de operações de espionagem cibernética contra governos, militares e entidades educacionais na Índia, embora também tenha realizado campanhas altamente direcionadas de spyware móvel contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.
Além disso, o grupo é conhecido por experimentar novos métodos de intrusão e por utilizar diferentes malwares ao longo dos anos, aprimorando suas táticas e ferramentas diversas vezes para evitar detecção.
Algumas das famílias de malware significativas utilizadas pelo Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, sendo as duas últimas associadas a um grupo de desenvolvimento freelance sediado em Lahore.
Esses desenvolvedores estão “disponíveis para contratação” e “pelo menos um funcionário público trabalha como desenvolvedor de aplicativos móveis”, observou a empresa de segurança móvel Lookout em 2018.
As cadeias de ataque montadas pelo grupo envolvem o uso de e-mails de spear-phishing para entregar cargas úteis por meio de links maliciosos ou arquivos ZIP, com foco especial na distribuição de binários ELF devido à grande dependência do governo indiano em sistemas operacionais baseados em Linux.
As infecções culminaram na implantação de três versões diferentes do GLOBSHELL, uma utilidade de coleta de informações baseada em Python que foi documentada anteriormente por Zscaler em conexão com ataques direcionados ao ambiente Linux em organizações governamentais indianas. Também foi implantado o PYSHELLFOX para extrair dados do Mozilla Firefox.
A BlackBerry também descobriu versões de scripts bash e binários do Windows baseados em Python sendo servidos a partir do domínio controlado pelo ator de ameaças “apsdelhicantt[.]in”:
– swift_script.sh, uma versão bash do GLOBSHELL
– Silverlining.sh, um framework de controle de código aberto chamado Sliver
– swift_uzb.sh, um script para coletar arquivos de um driver USB conectado
– afd.exe, um executável intermediário responsável por baixar win_hta.exe e win_service.exe
– win_hta.exe e win_service.exe, duas versões do Windows do GLOBSHELL
Em um sinal da evolução tática do Transparent Tribe, foram observadas campanhas de phishing em outubro de 2023 fazendo uso de imagens ISO para implantar um trojan de acesso remoto baseado em Python que utiliza o Telegram para fins de controle e comando (C2).
Vale ressaltar que o uso de iscas ISO para alvejar entidades do governo indiano foi uma abordagem observada desde o início do ano como parte de dois conjuntos de intrusão possivelmente relacionados – um modus operandi que a empresa canadense de cibersegurança afirmou “ter as características de uma cadeia de ataques do Transparent Tribe”.
Análises adicionais da infraestrutura também revelaram um programa “tudo-em-um” compilado em Golang com a capacidade de encontrar e extrair arquivos com extensões populares, tirar capturas de tela, fazer upload e download de arquivos e executar comandos.
A ferramenta de espionagem, uma versão modificada de um projeto de código aberto Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader de binário ELF empacotado dentro de um arquivo ZIP.
“O Transparent Tribe continua a mirar setores críticos vitais para a segurança nacional da Índia. Esse ator de ameaças continua a utilizar um conjunto central de táticas, técnicas e procedimentos (TTPs), que vêm adaptando ao longo do tempo.”
