olarak bilinen gelişmiş kalıcı tehdit (APT) grubu şeffaf kabile En azından Aralık 2021’den bu yana Hindistan’daki çeşitli eğitim kurumlarındaki öğrencileri hedef alan yeni bir kimlik avı kampanyasına atfedildi.
Cisco Talos, “Bu yeni kampanya aynı zamanda APT’nin kurban ağını sivil kullanıcıları da içerecek şekilde aktif olarak genişlettiğini gösteriyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Ayrıca APT36, Operation C-Major, PROJECTM, Mythic Leopard takma adları altında izlenen Şeffaf Kabile oyuncusu şüpheli Pakistan kökenlidir ve Hindistan ve Afganistan’daki devlet kuruluşlarına ve düşünce kuruluşlarına CrimsonRAT, ObliqueRAT ve CapraRAT gibi özel kötü amaçlı yazılımlarla saldırdığı bilinmektedir.
Ancak öncelikle eğitim kurumlarının ve öğrencilerin hedef alınması gözlemlenen Hindistan merkezli K7 Labs tarafından Mayıs 2022’de yayınlanan rapor, rakibin tipik odak noktasından bir sapmayı gösteriyor.
Cisco Talos araştırmacıları Hacker News’e verdiği demeçte, “Eğitim sektörünün en son hedeflemesi, ulus devletin casusluğunun stratejik hedefleriyle uyumlu olabilir.” “APT’ler, devam eden araştırma projeleriyle ilgili verilere uzun vadeli erişim sağlamak için üniversitelerdeki ve teknik araştırma kuruluşlarındaki bireyleri sıklıkla hedefleyecektir.”
Siber güvenlik firması tarafından belgelenen saldırı zincirleri, hedeflere bir mızraklı kimlik avı e-postası yoluyla bir ek veya uzak bir konuma bir bağlantı olarak bir kötü amaçlı belgenin teslim edilmesini içerir ve sonuçta CrimsonRAT’ın konuşlandırılmasına yol açar.
Araştırmacılar, “Bu APT, kurbanlarının kendilerine bulaşmasını sağlamak için sosyal mühendislik için önemli bir çaba sarf ediyor” dedi. “Şeffaf Kabilelerin e-posta cazibeleri, hedefleri maldoc’ları açmaya veya sağlanan kötü niyetli bağlantıları ziyaret etmeye ikna etmek için uygun içerikle mümkün olduğunca meşru görünmeye çalışıyor.”
Kızıl SıçanSEEDOOR ve Scarimson olarak da bilinir, fonksiyonlar tehdit aktörünün kurban ağlarına uzun vadeli erişim sağlamanın yanı sıra ilgilenilen verileri uzak bir sunucuya sızdırmak için tercih edilen temel implant olarak.
Modüler mimarisi sayesinde, kötü amaçlı yazılım, saldırganların virüslü makineyi uzaktan kontrol etmesine, tarayıcı kimlik bilgilerini çalmasına, tuş vuruşlarını kaydetmesine, ekran görüntüleri yakalamasına ve isteğe bağlı komutlar yürütmesine olanak tanır.
Dahası, bu sahte belgelerin birçoğunun eğitim temalı alanlarda barındırıldığı söylenmektedir (örneğin, “öğrenci sporu”[.]co”), Zain Hosting adlı Pakistanlı bir web barındırma hizmetleri sağlayıcısı tarafından işletilen altyapı ile Haziran 2021 gibi erken bir tarihte kaydedildi.
Araştırmacılar, “Zain Hosting’in Şeffaf Kabile organizasyonundaki rolünün kapsamının tamamı hala bilinmiyor” dedi. “Bu, Şeffaf Kabile’nin operasyonlarının bileşenlerini hazırlamak, sahneye koymak ve/veya dağıtmak için kullandığı birçok üçüncü taraftan biri olabilir.”