透明部落在最新活動中開始針對教育部門

Cisco Talos 一直在跟蹤由透明部落 APT 組織發起的新惡意活動。
該活動涉及針對印度次大陸的教育機構和學生，這與對手對政府實體的典型關注有所不同。
這些攻擊導致部署 CrimsonRAT，這是透明部落的首選惡意軟件，用于建立對受害者網絡的長期訪問。
我們高度自信地評估巴基斯坦網絡托管服務提供商“Zain Hosting”被用于部署和運營透明部落基礎設施的組件。這可能是透明部落用來準備、籌備和/或部署其運營組件的眾多第三方之一。

概述

Cisco Talos 最近發現了由透明部落 APT 組織針對印度各教育機構的學生進行的持續活動。該活動被另一家安全公司部分覆蓋，但我們的調查結果揭示了有關對手行動的更多細節。

通常，該 APT 小組專注于使用 CrimsonRAT 和 ObliqueRAT 等遠程訪問木馬 (RAT) 攻擊政府（政府雇員、軍事人員）和偽政府實體（智庫、會議等）。然而，在這個可以追溯到 2021 年 12 月的新活動中，對手的目標是印度大學和學院的學生。這項新的活動還表明，APT 正在積極擴大其受害者網絡，以包括平民用戶。

我們還高度信任地評估了巴基斯坦網絡托管服務提供商“ZainHosting”被 APT 雇用來部署和運營本次活動中使用的透明部落基礎設施的一部分。

威脅演員簡介

透明部落是疑似與巴基斯坦有關的威脅行為者。該組織通常針對與印度次大陸（特別是阿富汗和印度）的政府和軍??事人員有關的個人和實體。眾所周知，透明部落還使用他們的 CrimsonRAT 植入物來對付巴基斯坦的人權活動家。

該組織主要使用三個基于 Windows 的惡意軟件系列來針對其目標開展間諜活動。

CrimsonRAT 是一種基于 .NET 的植入物，至少從 2020 年開始，它就是該組織的首選惡意軟件。Transparent Tribe 多年來利用CrimsonRAT開展的多項活動表明該植入物的功能正在穩步發展。
ObliqueRAT 是 Talos 在2020年初發現的基于 C/C++ 的植入物。ObliqueRAT 主要用于針對政府人員的超針對性攻擊，以及在隱身是攻擊者感染鏈的主要焦點的操作中。隨著時間的推移，這種植入物的部署策略和惡意功能也在不斷演變。
與 CrimsonRAT 和 ObliqueRAT 相比，Transparent Tribe 使用的自定義惡意軟件由可輕松快速部署的下載器、dropper 和包含有限功能的輕量級 RAT 組成。

透明部落還在他們的武器庫中維護了一套移動植入物。CapraRAT等植入物會不斷修改以針對目標進行部署。這些植入程序包含大量旨在從移動設備竊取數據的惡意功能。

攻擊細節：感染鏈

攻擊包括通過魚叉式網絡釣魚電子郵件作為附件或指向遠程位置的鏈接傳遞給目標的惡意文檔。惡意文檔由以前的透明部落活動中常見的惡意 VBA 宏組成。宏從惡意文檔中提取嵌入的存檔文件并將其解壓縮以執行存檔文件中的惡意軟件副本。存檔文件中的惡意軟件是CrimsonRAT。

惡意宏將嵌入式 zip 拖放到磁盤。

深紅鼠

此活動中部署的 CrimsonRAT 有效負載與過去的透明部落活動非常相似。它是透明部落建立長期訪問受害者網絡的首選植入物。此 RAT 會積極更新，添加新功能并混淆植入物。

此活動中看到的最新版本 CrimsonRAT 包含許多功能，包括：

列出命令和控制 (C2) 指定的目錄路徑中的文件和文件夾。
在端點上運行特定進程，例如鍵盤記錄器和 USB 模塊。
列出端點上運行的進程 ID 和名稱。
獲取C2指定的圖片文件（如BMP、JPG等圖片）的名稱、創建時間、大小等信息。
截取當前屏幕截圖并發送到 C2。
將鍵盤記錄器日志從磁盤上的文件上傳到 C2。
向 C2 發送系統信息，包括：
計算機名稱、用戶名、操作系統名稱、植入的文件路徑和父文件夾路徑。
鍵盤記錄器模塊是否在端點中并正在運行及其版本的指示器。
指示 USB 模塊是否在端點中并正在運行及其版本。
在系統上運行任意命令。
將 C2 發送的數據寫入磁盤上的文件。
讀取磁盤上文件的內容并滲透到 C2。
列出系統上的所有驅動器。
列出目錄中的所有文件。
從 C2 下載 USB 蠕蟲和鍵盤記錄模塊并將它們寫入磁盤。
將文件名、創建時間和大小發送到 C2 指定的 C2 文件路徑。
從端點刪除 C2 指定的文件。
獲取包含 C2 指定的文件擴展名的所有文件的名稱、創建時間和大小。

基礎設施和歸因

競選基礎設施

許多惡意文檔和包含這些惡意文檔的檔案托管在攻擊者注冊的域上，最早的域注冊于 2021 年 6 月。這些域的命名是為了使它們看起來與印度的學生和教育實體相關。威脅參與者注冊的域的一些示例是：

學生門戶[.]live
學生門戶[.]網站
學生門戶[.]co

但是，我們還發現攻擊者準備在針對其目標的并行活動中使用其他以媒體為主題的域。這些域符合透明部落使用我們在之前的攻擊和活動中觀察到的惡意文件共享域的策略。

云驅動器[.]存儲
user-onedrive[.]live
驅動電話[.]在線

在我們的研究過程中，我們發現 SSL 證書與攻擊者在 2021 年 6 月注冊的另一個域geo-news[.]tv使用電子郵件地址immikhan034[@]gmail[.]com 重疊。該域名是合法的巴基斯坦新聞網站geo[.]tv的一個拼寫錯誤版本。惡意拼寫域名的子域包括為學生托管 SSL 證書的子域和以媒體為主題的惡意域：

cloud-drive.geo-news.tv
drive-phone.geo-news.tv
studentportal.geo-news.tv
user-onedrive.geo-news.tv

所有惡意域最近都解析到相同的 IP 地址：198[.]37[.]123[.]126。這強烈建議在所有惡意域之間共享基礎設施。

地理新聞[.]tv 的 SSL 證書。

蜜罐

攻擊者為此活動注冊的許多域都包含基本網站，其首頁包含嵌入的 Google Drive 文件夾。所有這些文件夾都包含女性的照片。這些首頁很有可能在未來被用作基于蜜陷阱的攻擊的舞臺，這是透明部落 APT 的另一種典型策略。

嵌入在由透明部落運營的假網站中的 Google Drive 文件夾。

基礎設施歸因

此 APT 活動中使用的所有惡意域的 DNS SOA 記錄包含一個通用管理員電子郵件地址：rupees001[at]gmail[.]com。此電子郵件地址已用于注冊和管理大約 2,000 個合法和惡意域。但是，此列表中有幾個領域很突出：

zainhosting[.]net
vebhost[.]com

在這兩個域中，vebhost[.]com托管了一個虛擬網站，用于宣傳網站建設服務。本次活動中使用的惡意域，例如studentportal[. ]live等，使用vebhost[.]com名稱服務器，具體如下：

ns1[.]vebhost[.]com
ns2[.]vebhost[.]com

因此，注冊和維護惡意域名的運營商很可能也通過vebhost[.]com運營網絡托管服務。

第二個域zainhosting[.]net屬于一家看似合法的網絡服務和托管服務提供商，名為“Zain Hosting”，總部位于巴基斯坦拉合爾。

除了zainhosting[.]net之外，托管服務提供商還運營zainhosting[.]com，這是該企業合法運營的主要陣地。有趣的是，vebhost[.]com使用zainhosting[.]com的名稱服務器：

ns5.zainhosting.com
ns6.zainhosting.com

ZainHosting 在 Facebook 上大力宣傳他們的服務，至少自 2010 年以來一直很活躍。他們從 2010 年開始的網頁將rupees001[at]gmail[.]com 列為該業務的聯系地址。隨著時間的推移，此電子郵件已被用于注冊、更新和管理多個惡意網頁，包括透明部落 APT 在其最近的活動中使用的惡意域。

2010 年的 ZainHosting 網頁將 rupees001[at]gmail[.]com 列為聯系地址。

所有三組域——惡意透明部落基礎設施、vebhost[.]com 和 zainhosting[.]net/com——都明顯相關，“ZainHosting”擁有和運營惡意基礎設施。但是，ZainHosting 在透明部落組織中的角色的整個范圍仍然未知。我們堅信 ZainHosting 只是透明部落雇傭的眾多基礎設施承包商之一。這些承包商可能會被雇用來簡單地準備和部署 APT 的基礎設施，并且可能會獲得包含要部署的惡意工件的包（檔案等），然后由 APT 運營商自己分發給感興趣的目標。

結論

透明部落一直在積極嘗試擴大其在印度次大陸的受害者網絡。他們的行動至少早在 2016 年就開始了，主要集中在感染阿富汗和印度的政府和軍??方官員。在過去幾年中，我們看到 APT 開始針對屬于智庫和國防承包商的偽政府實體和個人。

然而，他們的新活動表明，威脅行為者的戰略正在演變為針對文職人員，特別是與教育機構有關的人員。這可能符合他們的民族國家的目標，即建立長期訪問權限并從與印度政府相關的主要研究機構竊取有價值的和受限的研究。密切關注敵對國家的研究工作是世界各地觀察到的許多 APT 組織采用的戰略目標。

組織必須勤奮對抗這些積極主動的對手，這些對手正在迅速發展他們的戰略并擴大他們的目標網絡。基于風險分析方法的深度防御策略可以在預防中產生最佳效果。但是，這應該始終輔以良好的事件響應計劃，該計劃不僅經過桌面練習的測試，而且在每次實際參與測試時都經過審查和改進。

覆蓋范圍

下面列出了我們的客戶可以檢測和阻止此威脅的方式。

文章轉自：尼克·比亞西尼 ( NICK BIASINI )