Kısa süre önce Cisco Talos, Transparent Tribe APT grubunun devam eden kötü niyetli bir kampanya yürüttüğünü keşfetti. Pakistanlı APT bilgisayar korsanları, öğrencilere zarar vermek için Hindistan genelinde bulunan çeşitli eğitim kurumlarına karşı kötü niyetli bir kampanya yürüttü.
Devam eden bu aktif kampanyada APT, kurban ağındaki sivil kullanıcıları da hedef alıyor. APT ağının faaliyetleri sonucunda genişlediğine şüphe yoktur.
Bu APT grubu, hedeflerine ulaşmak ve hükümeti ve sözde hükümet kuruluşlarını hedeflemek için aşağıdaki gibi RAT’leri kullanır: –
- Kızıl Sıçan
- ObliqueRAT
- ÇapraRAT
Şeffaf Kabile aktörünün yanı sıra, bu grup aşağıdaki gibi başka isimlerle de bilinir: –
- APT36
- Operasyon C-Binbaşı
- PROJE
- efsanevi leopar
Mayıs 2022’de Hindistan’ın K7 Laboratuvarları ilk olarak eğitim kurumlarına ve öğrencilere yönelik hedefli bir saldırı gerçekleştirildiğini gözlemledi. Ayrıca, APT’lerin en olası şüphelilerinden biri, APT’lerle uğraştığı yüksek bir kesinlikle tahmin edilen Pakistanlı bir barındırma şirketi “ZainHosting”.
Bunu kullanarak, Şeffaf Kabile, bu kampanyayı iletmek için kullandıkları altyapı sistemini kendi başlarına kurabildi ve işletebildi.
APT profili
- Grup Adı: Şeffaf Kabile
- Grup Menşei: Pakistan
- Hedef: Hindistan ve Afganistan’daki hükümetler ve askeri personel
- Kullanılan İmplantlar: CrimsonRAT, ObliqueRAT, CapraRAT
Enfeksiyon zinciri
Hedefe yönelik kimlik avı saldırılarında, kötü amaçlı bir belge, kötü amaçlı belge içeren bir e-postanın parçası olarak hedefe ek veya uzak bir konuma bağlantı olarak teslim edilir.
Daha önceki Şeffaf Kabile kampanyalarında, kötü amaçlı VBA makroları, kötü amaçlı belgelerin bir parçası olarak kullanıldı. Gömülü bir arşiv dosyasını ayıklayan maldoc’ta bir makro bulunur.
Ardından, içindeki kötü amaçlı yazılımı çalıştırabilmek için dosyayı açar. Bu dosya, CrimsonRAT adlı kötü amaçlı yazılım içeren bir arşiv içerir.
CrimsonRAT’ın bilinebileceği birkaç isim vardır, yani: –
Tehdit aktörleri söz konusu olduğunda, CrimsonRAT, hangi implantın kullanılacağını belirlerken tercih edilen temel implant görevi görür. Bu teknik, saldırganlar tarafından kurban ağlarına uzun süreli erişim elde etmek ve ilgi çekici önemli verileri kurban ağından tehdit aktörlerinin kontrolü altındaki uzak bir sunucuya iletmek için kullanılır.
Bu kötü amaçlı yazılımın bulaştığı makine üzerinde uzaktan kontrol elde etmek için saldırganların modüler mimarisinden yararlanmaları gerekir. Saldırganlar, virüslü makinenin kontrolünü ele geçirdikten sonra aşağıdaki yasa dışı etkinlikleri gerçekleştirebilir:-
- Tarayıcı kimlik bilgilerini çal
- Tuş vuruşlarını kaydedin
- Ekran görüntüsü yakalayın
- İsteğe bağlı komutları yürütün
Hindistan alt kıtası boyunca, Şeffaf Kabile, dağıtım kanallarını genişleterek kurbanlarını genişletmek için agresif bir şekilde ilerliyor.
Bunun dışında, yeni kampanyalarında artık sivilleri, özellikle eğitim kurumlarıyla ilişkili kişileri hedef alıyorlar. Bu yüksek motivasyonlu düşmanların bir sonucu olarak, değişen çevrenin bir sonucu olarak stratejileri hızla değiştiğinden, kuruluşlar bunlara karşı tetikte kalmalıdır.
Siber saldırıların önlenmesinde en iyi sonuçlar, risk analizi yaklaşımlarına dayalı kapsamlı savunma stratejileri ile elde edilebilir.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.