Você está visualizando atualmente Hackers Conectados ao Paquistão Implementam Malwares em Python, Golang e Rust em Alvos Indianos

Hackers Conectados ao Paquistão Implementam Malwares em Python, Golang e Rust em Alvos Indianos

O ator Transparent Tribe, de origem paquistanesa, foi associado a um novo conjunto de ataques direcionados aos setores governamentais, de defesa e aeroespacial da Índia, utilizando malwares multiplataforma escritos em Python, Golang e Rust.

Essa atividade ocorreu entre o final de 2023 e abril de 2024 e, segundo a equipe de Pesquisa e Inteligência da BlackBerry, é esperado que continue. A campanha de spear-phishing se destaca pelo uso de serviços online populares, como Discord, Google Drive, Slack e Telegram, evidenciando mais uma vez a forma como os atores de ameaças incorporam programas legítimos em suas estratégias de ataque.

Os alvos desses ataques por e-mail incluíram três empresas importantes para o Departamento de Produção de Defesa (DDP), todas localizadas na cidade indiana de Bengaluru. Embora os nomes das empresas não tenham sido divulgados, informações indicam que mensagens de e-mail foram direcionadas à Hindustan Aeronautics Limited (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; à Bharat Electronics Limited (BEL), uma empresa estatal de eletrônicos de defesa e aeroespacial; e à BEML Limited, uma empresa do setor público que fabrica equipamentos de movimentação de terras.

O Transparent Tribe também é conhecido por outros nomes, como APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM, e tem histórico de operações de espionagem cibernética contra governos, militares e entidades educacionais na Índia, além de campanhas altamente direcionadas de spyware móvel contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.

O grupo experimenta constantemente novos métodos de intrusão e já utilizou diferentes malwares ao longo dos anos para evitar a detecção. Algumas das famílias de malwares notáveis associadas ao Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, sendo as últimas duas vinculadas a um grupo de desenvolvedores freelancers sediado em Lahore.

As campanhas de ataque do grupo envolvem o uso de e-mails de spear-phishing para entregar payloads por meio de links maliciosos ou arquivos ZIP, com foco especial na distribuição de binários ELF devido à alta dependência do governo indiano em sistemas operacionais baseados em Linux. As infecções resultaram na implementação de três versões diferentes do GLOBSHELL, uma ferramenta de coleta de informações baseada em Python, além do PYSHELLFOX para extrair dados do Mozilla Firefox.

Além disso, o grupo passou a utilizar imagens ISO em suas campanhas de phishing, como parte de um conjunto de intrusões possivelmente relacionadas, o que foi identificado pela empresa canadense de cibersegurança como um “padrão de ataques característico do Transparent Tribe”.

Análises de infraestrutura adicional revelaram um programa “tudo-em-um” compilado em Golang, com capacidade para localizar e exfiltrar arquivos com extensões populares, capturar screenshots, fazer upload e download de arquivos e executar comandos. Esta ferramenta de espionagem, uma versão modificada de um projeto de código aberto chamado Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader de binário ELF compactado em arquivo ZIP.

A BlackBerry destacou que o Transparent Tribe continua a visar setores críticos para a segurança nacional da Índia, utilizando um conjunto central de táticas, técnicas e procedimentos (TTPs) que vêm sendo adaptados ao longo do tempo.