O ator Pakistani da Transparent Tribe foi vinculado a uma nova série de ataques direcionados aos setores governamentais, de defesa e aeroespacial da Índia, utilizando malware multiplataforma escrito em Python, Golang e Rust.
Essa série de atividades ocorreu entre o final de 2023 e abril de 2024, e espera-se que continue. A equipe de Pesquisa e Inteligência da BlackBerry afirmou em um relatório técnico publicado na semana passada.
A campanha de spear-phishing também é notável pelo uso de serviços online populares como Discord, Google Drive, Slack e Telegram, mais uma vez destacando como os atores de ameaças estão adotando programas legítimos em seus fluxos de ataque.
De acordo com a BlackBerry, os alvos dos ataques por e-mail incluíram três empresas que são partes interessadas cruciais e clientes do Departamento de Produção de Defesa (DDP). As três empresas visadas têm sede na cidade indiana de Bengaluru.
Enquanto os nomes das empresas não foram divulgados, indicações apontam que as mensagens de e-mail visaram a Hindustan Aeronautics Limited, uma das maiores empresas aeroespaciais de defesa do mundo; a Bharat Electronics Limited, uma empresa estatal de eletrônicos de defesa e aeroespacial; e a BEML Limited, uma empresa estatal que fabrica equipamentos para movimentação de terra.
A Transparent Tribe também é rastreada pela comunidade de cibersegurança sob os nomes APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.
O coletivo adversário, ativo desde pelo menos 2013, tem um histórico de operações de espionagem cibernética contra governos, militares e entidades de educação na Índia, embora também tenha realizado campanhas altamente direcionadas de spyware para dispositivos móveis contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.
Além disso, o grupo é conhecido por experimentar novos métodos de invasão e já utilizou diferentes malwares ao longo dos anos, iterando em suas táticas e ferramentas diversas vezes para evitar a detecção.
Algumas das famílias de malware notáveis usadas pela Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, com os dois últimos ligados a um grupo de desenvolvedores autônomos sediado em Lahore.
Esses desenvolvedores estão “disponíveis para contratação” e “pelo menos um funcionário público trabalha como desenvolvedor de aplicativos móveis”, conforme observado pela empresa de segurança móvel Lookout em 2018.
As cadeias de ataque montadas pelo grupo envolvem o uso de e-mails de spear-phishing para entregar payloads usando links maliciosos ou arquivos ZIP, concentrando seus esforços na distribuição de binários ELF devido à grande dependência do governo indiano em sistemas operacionais baseados em Linux.
As infecções culminaram na implantação de três versões diferentes do GLOBSHELL, um utilitário de coleta de informações baseado em Python que foi previamente documentado em conexão com ataques ao ambiente Linux em organizações governamentais indianas. Também foi implantado o PYSHELLFOX para exfiltrar dados do Mozilla Firefox.
A BlackBerry também descobriu versões de scripts bash e binários do Windows baseados em Python sendo servidos a partir do domínio controlado pelo ator de ameaças “apsdelhicantt[.]in” –
– swift_script.sh, uma versão bash do GLOBSHELL
– Silverlining.sh, um framework de controle de comando e controle (C2) de código aberto chamado Sliver
– swift_uzb.sh, um script para coletar arquivos de um driver USB conectado
– afd.exe, um executável intermediário responsável por baixar win_hta.exe e win_service.exe
– win_hta.exe e win_service.exe, duas versões do Windows do GLOBSHELL
Como sinal da evolução tática da Transparent Tribe, campanhas de phishing orquestradas em outubro de 2023 foram observadas fazendo uso de imagens ISO para implantar o trojan de acesso remoto baseado em Python que utiliza o Telegram para fins de C2.
Vale ressaltar que o uso de iscas ISO para visar entidades do governo indiano foi uma abordagem observada desde o início do ano como parte de dois conjuntos de intrusões possivelmente relacionados – um modus operandi que a empresa canadense de cibersegurança afirmou “ter a marca de uma cadeia de ataques da Transparent Tribe.”
Análises adicionais de infraestrutura também revelaram um programa “all-in-one” compilado em Golang que tem a capacidade de encontrar e exfiltrar arquivos com extensão popular, capturar screenshots, fazer upload e download de arquivos e executar comandos.
A ferramenta de espionagem, uma versão modificada de um projeto de código aberto Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader ELF embalado em um arquivo ZIP.
“A Transparent Tribe tem como alvo setores críticos vitais para a segurança nacional da Índia,” disse a BlackBerry. “Esse ator de ameaças continua a utilizar um conjunto central de táticas, técnicas e procedimentos (TTPs), adaptando-os ao longo do tempo.”
