Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Pakistan Bağlantılı APT Grubu, Bilgi Hırsızı Kötü Amaçlı Yazılımlarını Yerleştirmek İçin Spear-Phishing Kullanıyor
Jayant Chakraborty (@JayJay_Tech) •
14 Nisan 2023
Kurbanları cezbetmek için kimlik avı e-postalarına güvenen şüpheli bir Pakistan casusluk tehdidi aktörü, yıllarca Hindistan ordusuna ve hükümetine odaklandıktan sonra eğitim sektörüne doğru genişliyor.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Sentinel Labs tarafından yapılan güvenlik araştırması, APT36 ve Earth Karkaddan olarak da bilinen Transparent Tribe olarak izlediği bir grubun Hintli eğitmenleri ve öğrencileri hedef almak için Crimson RAT kötü amaçlı yazılımıyla dolu kötü amaçlı belgeler kullandığını söylüyor.
Cazibe, eğitim temalı içerik ve “ödev” gibi isimler içeriyor. Araştırmacılar, Şeffaf Kabile’nin tehdit aktörü olduğuna işaret eden göstergeler arasında, “grubun kötü amaçlı yazılım cephaneliğinde tutarlı bir temel” olan Crimson RAT’ın kullanımını da içeriyor. Bu en son kimlik avı kampanyası, gruba bağlı dosya barındırma hizmeti etki alanlarını da kullanır. cloud-drive.store Ve drive-phone.online.
Sentinel Labs’ta kıdemli bir tehdit araştırmacısı olan Aleksandar Milenkoski, Information Security Media Group’a APT36’nın Temmuz 2022’de Hindistan Yarımadası’ndaki eğitim kurumlarını hedef almaya başladığını söyledi. Saldırganlar tarafından komuta ve kontrol sunucusu olarak kullanılan alanın hala aktif olduğunu söyledi. .
Milenkoski, Şeffaf Kabile’nin amacının, öğrencileri ve araştırma kurumlarını cezbetmek için kimlik avı e-postaları ve sahte web siteleri kullanmasının da kanıtladığı gibi, eğitim sektöründeki mümkün olduğunca çok sayıda kuruluşu ve kişiyi hedeflemek olduğunu söyledi.
“Maalesef etkilenen kişi ve kuruluşların toplam sayısını doğru bir şekilde tahmin edemiyoruz ve etkilenen kuruluşlarla ilgili ayrıntıları tartışma özgürlüğüne sahip değiliz” dedi.
Siber güvenlik girişimi Cyble, Mart ayında Hintli savunma araştırmacılarını hedef alan bir kampanyayı, “Şeffaf Kabile (APT36) ile ortak özellikler paylaştığını ve potansiyel olarak bu tehdit aktörünün bir alt grubu olabileceğini” söylediği bir grup olan SideCopy APT’ye bağladı (bkz:: SideCopy APT, Hindistan’ın Birincil Savunma Araştırma Ajansını Hedef Aldı). Cyble, SideCopy APT’nin bilgi çalan Action Rat Kötü Amaçlı Yazılım’ın bir çeşidini yerleştirmek için yem olarak ilk giriş ve araştırma materyallerini elde etmek için hedef odaklı kimlik avı kullandığını söyledi.
Crimson RAT, neredeyse her APT36 kampanyasında yer alan ve saldırganların kurban ağlarına uzun vadeli erişimi sürdürmesini sağlayan .NET tabanlı bir uzaktan erişim Truva Atı’dır, diye yazmıştı Cisco Talos 2022’de.
Kötü amaçlı yazılım bir keylogger içerir, rastgele komutlar çalıştırır ve sistem bilgilerini bir komut ve kontrol sunucusuna gönderir.
Sentinel Labs’e göre, önceki kampanyalardaki saldırganlar Crimson RAT’ı indirmek için Microsoft Office makrolarını kullandılar, ancak firma, saldırganların bir görüntüyü görüntüleyen ve kullanıcıların bir eki indirmek için üzerine çift tıklamasını gerektiren OLE katıştırmayı kullanmaya geçtiğini gözlemledi. Bir kullanıcı bu eylemi gerçekleştirdiğinde, etkinleştirilen bir OLE paketi, bir Microsoft güncelleme işlemi gibi görünen Crimson RAT’i depolar ve yürütür.