Transparent Tribe 為網絡間諜活動部署新型 Android 間諜軟件

Transparent Tribe是一個高級持續威脅（APT）小組，至少從2013年開始活躍，它已開始在其網絡間諜活動中部署新的移動惡意軟件工具。

Kaspersky研究人員本周報告說：“該組織利用偽裝成幾個流行應用程序的間諜軟件，積極瞄準了印度的Android用戶。”

一旦安裝在系統上，就可以觀察到該惡意軟件下載了新的應用程序，并訪問了SMS消息，通話記錄和設備的麥克風。Kaspersky在星期三的一份報告中說：“透明部落的新的Android間諜軟件工具還可以跟蹤受感染設備的位置，并從該設備枚舉文件并將其上傳到遠程攻擊者控制的服務器。”

Kaspersky全球研究與分析團隊的高級安全研究員Giampaolo Dedola說，現有數據表明，攻擊者將Android軟件包文件托管在特定的網站上，并通過社交工程吸引用戶到這些位置。

根據Kaspersky的說法，Transparent Trib用來分發間諜軟件的兩個Android應用程序之一是一個開源視頻播放器，安裝后，該視頻播放器提供了成人視頻的功能，同時在后臺安裝了其他惡意軟件。第二個應用程序偽裝成“ Aarogya Setu”，這是由印度政府的國家信息中心開發的COVID-19跟蹤應用程序。

這兩個應用程序都嘗試在受感染的系統上安裝另一個Android軟件包文件。該軟件包是AhMyth的修改版本，AhMyth是一種開放源代碼的Android遠程訪問工具（RAT），可從GitHub上免費下載。根據Kaspersky的說法，修改后的版本缺少原始版本的某些功能，例如能夠從Android手機中竊取圖片。但是，它還包含一些新功能，可以改善惡意軟件的數據泄露功能。

Dedola說：“該惡意軟件看起來很有趣，因為Transparent Tribe正在對其進行跟蹤，并正在根據其需求修改代碼。” “這可能意味著惡意軟件將在以后的攻擊中使用，防御者應密切注意這一威脅以防止感染。”

據Dedola稱，Transparent Tribe的最新惡意軟件突顯了威脅組織不斷擴展其工具集和操作。

高度活躍

Transparent Tribe（又名PROJECTM和MYTHIC LEOPARD）是一個高度活躍的威脅組織，主要針對印度軍事，政府和外交目標。迄今為止，該組織的主要惡意軟件是“Crimson RAT”，這是一種基于.NET的自定義RAT，它是通過帶有嵌入式宏的惡意文檔提供的。Kaspersky的研究人員還使用名為Peppy的另一種基于.NET和Python的RAT觀察了該小組。

Kaspersky的一項分析–以及Proofpoint在2016年的另一項分析–發現Crimson是Transparent Tribe進行網絡間諜活動的主要工具，至少到目前為止是這樣。該多組件工具具有多種功能，包括使攻擊者能夠遠程管理受感染計算機上的文件系統，上傳或下載文件，捕獲屏幕截圖，記錄擊鍵，記錄音頻和視頻以及竊取存儲在其中的密碼的功能。瀏覽器。在Crimson框架的組件中包括“ USB蠕蟲”，Kaspersky稱該工具能夠從可移動驅動器竊取文件，并通過感染可移動介質傳播到其他系統。

根據Dedola的說法，盡管“Transparent Tribe”是一個活躍的團體，但并不是特別復雜。該小組基于魚叉式網絡釣魚電子郵件和帶有嵌入式VBA代碼的文檔，使用了相當簡單的感染鏈。該組織還傾向于重用開源惡意軟件和漏洞利用程序。

Dedola指出：“使該小組特別危險的是活動的數量。” “自首次行動以來，他們從未停止過攻擊，并且能夠攻擊數千名受害者，這些受害者可能與政府或軍事組織有關。看來他們不需要零日漏洞利用或內核模式惡意軟件即可實現他們的目標。”

在過去的一年中，觀察到“Transparent Tribe”對阿富汗和其他多個國家的組織進行了有針對性的攻擊。Dedola說，但這些國家的受害者很可能與印度和阿富汗有聯系。

他說：“基于用于感染受害者的惡意文件和以前的襲擊信息，我們知道他們針對的是軍事人員和外交人員。” “我們認為，由于受害者的類型和使用為竊取信息而開發的間諜工具的使用，他們具有政治動機。”