O grupo Transparent Tribe, com origem no Paquistão, foi vinculado a um novo conjunto de ataques direcionados aos setores governamentais, de defesa e aeroespaciais da Índia, utilizando malware multiplataforma escrito em Python, Golang e Rust.
Essa série de atividades se estendeu de 2023 a abril de 2024 e acredita-se que continuará, segundo o BlackBerry Research and Intelligence Team em um relatório técnico publicado na semana passada.
A campanha de spear-phishing também se destaca pelo uso de serviços online populares, como Discord, Google Drive, Slack e Telegram, destacando mais uma vez como os atores de ameaças estão adotando programas legítimos em seus fluxos de ataque.
Segundo o BlackBerry, os alvos dos ataques por e-mail incluíram três empresas que são partes interessadas cruciais e clientes do Departamento de Produção de Defesa (DDP). Todas as três empresas-alvo têm sede na cidade indiana de Bengaluru.
Embora os nomes das empresas não tenham sido divulgados, indícios apontam que as mensagens de e-mail tinham como alvo a Hindustan Aeronautics Limited (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; a Bharat Electronics Limited (BEL), uma empresa estatal de eletrônica aeroespacial e de defesa; e a BEML Limited, uma empresa de fabricação de equipamentos de movimentação de terra.
O Transparent Tribe também é rastreado pela comunidade de cibersegurança sob outros nomes, como APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.
O coletivo adversário, ativo desde pelo menos 2013, tem um histórico de operações de ciberespionagem contra governos, militares e entidades educacionais na Índia, embora também tenha realizado campanhas altamente direcionadas de spyware móvel contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.
Além disso, o grupo é conhecido por experimentar novos métodos de intrusão e já modificou diferentes malwares ao longo dos anos, iterando em suas táticas e ferramentas várias vezes para evitar a detecção.
Algumas das famílias de malwares notáveis utilizadas pelo Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, sendo estes dois últimos ligados a um grupo de desenvolvedores freelancers baseado em Lahore.
Esses desenvolvedores estão “disponíveis para contratação” e “pelo menos um funcionário do governo trabalha como desenvolvedor de aplicativos móveis”, observou a empresa de segurança móvel Lookout em 2018.
As cadeias de ataque montadas pelo grupo envolvem o uso de e-mails de spear-phishing para fornecer payloads usando links maliciosos ou arquivos ZIP, focando particularmente em distribuir binários ELF devido à grande dependência do governo indiano em sistemas operacionais baseados em Linux.
As infecções culminaram na implantação de três versões diferentes do GLOBSHELL, uma utilidade de coleta de informações baseada em Python que havia sido documentada anteriormente pela Zscaler em conexão com ataques direcionados ao ambiente Linux em organizações governamentais indianas. Também foi implantado o PYSHELLFOX para exfiltrar dados do Mozilla Firefox.
O BlackBerry também descobriu versões de scripts bash e binários do Windows baseados em Python sendo servidos a partir do domínio controlado pelo ator de ameaça “apsdelhicantt[.]in”.
No que é um sinal da evolução tática do Transparent Tribe, campanhas de phishing orquestradas em outubro de 2023 foram observadas usando imagens ISO para implementar o trojan de acesso remoto baseado em Python que utiliza o Telegram para fins de C2.
Vale ressaltar que o uso de iscas ISO para direcionar entidades governamentais indianas tem sido um método observado desde o início do ano como parte de dois conjuntos de intrusão possivelmente relacionados – um modus operandi que a empresa canadense de cibersegurança afirmou “ter as características de uma cadeia de ataque do Transparent Tribe”.
Análises adicionais de infraestrutura também descobriram um programa “tudo em um” compilado em Golang que possui a capacidade de encontrar e exfiltrar arquivos com extensões populares, capturar telas, fazer upload e download de arquivos e executar comandos.
A ferramenta de espionagem, uma versão modificada de um projeto de código aberto Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader de binário ELF compactado em um arquivo ZIP.
“O Transparent Tribe tem como alvo persistentemente setores críticos vitais para a segurança nacional da Índia”, disse o BlackBerry. “Este ator de ameaça continua a utilizar um conjunto central de táticas, técnicas e procedimentos (TTPs), que têm sido adaptados ao longo do tempo.”
