bu şeffaf kabile Hindistan eğitim sektörünü hedef alan saldırılarda, Crimson RAT adlı sürekli sürdürülen bir kötü amaçlı yazılım parçası kullanan bir tehdit aktörü, bir dizi silahlı Microsoft Office belgesiyle ilişkilendirildi.
Pakistan merkezli olduğundan şüphelenilen tehdit grubunun ülkedeki askeri ve hükümet kuruluşlarını hedef aldığı bilinmesine rağmen, faaliyetler o zamandan beri eğitim dikeyini içerecek şekilde genişledi.
APT36, C-Major Operasyonu, PROJECTM ve Mythic Leopard olarak da adlandırılan bilgisayar korsanlığı grubu, 2013 yılına kadar faaliyet gösteriyor. Eğitim kurumları, 2021’in sonlarından beri düşmanın saldırılarına maruz kalıyor.
The Hacker News ile paylaşılan bir raporda SentinelOne araştırmacısı Aleksandar Milenkoski, “Crimson RAT, grubun düşmanın kampanyalarında kullandığı kötü amaçlı yazılım cephaneliğinde tutarlı bir temel unsurdur” dedi.
Kötü amaçlı yazılım, dosyaları ve sistem verilerini aktör tarafından kontrol edilen bir sunucuya sızdırma işlevine sahiptir. Ayrıca, ekran görüntüleri yakalama, çalışan işlemleri sonlandırma ve tuş vuruşlarını günlüğe kaydetmek ve tarayıcı kimlik bilgilerini çalmak için ek yükler indirme ve yürütme yeteneği ile oluşturulmuştur.
Geçen ay ESET, Transparent Tribe’ı Hindistan ve Pakistanlı Android kullanıcılarına CapraRAT adlı bir arka kapı ile bulaştırmayı amaçlayan bir siber casusluk kampanyasına bağladı.
Crimson RAT örnekleri üzerinde yapılan bir analiz, Fortinet’in önceki bir raporunu doğrulayan “Wibemax” kelimesinin varlığını ortaya çıkardı. Adı, Pakistanlı bir yazılım geliştirme şirketininkiyle eşleşse de, tehdit aktörüyle herhangi bir doğrudan bağlantı paylaşıp paylaşmadığı hemen belli değil.
Bununla birlikte, Transparent Tribe’ın geçmişte Hindistan eğitim sektörünü hedef alan saldırılarda Zain Hosting adlı bir web barındırma sağlayıcısı tarafından işletilen altyapıdan yararlandığını belirtmekte fayda var.
SentinelOne tarafından analiz edilen belgeler, eğitim temalı içerik ve ödev veya 10 numaralı Ödev gibi adlar taşıyor ve Crimson RAT’ı başlatmak için kötü amaçlı makro kodunu kullanıyor. Başka bir yöntem, kötü amaçlı yazılımı hazırlamak için OLE yerleştirmenin kullanılmasıyla ilgilidir.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Milenkoski, “Bu tekniği uygulayan kötü amaçlı belgeler, kullanıcıların bir belge öğesini çift tıklamasını gerektirir” dedi. “Transparan Kabile tarafından dağıtılan bu belgeler, tipik olarak, belge içeriğinin kilitli olduğunu belirten bir görüntü (“Belgeyi Görüntüle” grafiği) görüntüler.”
Bu da, kullanıcıları içeriği görüntülemek için grafiğe çift tıklamaları için kandırır ve böylece Crimson RAT’ı saklayan ve yürüten bir OLE paketini etkinleştirerek bir güncelleme işlemi gibi görünür.
Crimson RAT varyantlarının, Crypto Obfuscator ve Eazfuscator gibi araçları kullanarak farklı gizleme teknikleri uygulamalarının yanı sıra, bir dakika ile dört dakika arasında herhangi bir yere yayılan belirli bir süre boyunca yürütmelerini geciktirdiği gözlemlendi.
Milenkoski, “Transparent Tribe, kötü amaçlı yazılım cephaneliğini, operasyonel oyun kitabını ve hedefini düzenli olarak güncelleyen, motivasyonu yüksek ve ısrarcı bir tehdit aktörüdür” dedi. “Transparent Tribe’ın sürekli değişen operasyonel ve hedefleme stratejileri, grubun oluşturduğu tehdidi azaltmak için sürekli tetikte olmayı gerektiriyor.”