Logo Zephyrnet

APT 'Bộ lạc minh bạch' của Pakistan nhằm mục đích tạo ra tác động đa nền tảng

Ngày:

Một nhóm gián điệp mạng có liên kết với Pakistan đã chuyển sang sử dụng nhiều kỹ thuật phần mềm hợp pháp hơn nhằm cố gắng vượt qua các biện pháp phòng vệ an ninh mạng, bao gồm nhắm mục tiêu vào Linux nhiều như Windows và kết hợp vào các cuộc tấn công các dịch vụ đám mây hợp pháp của nó, bao gồm Google Drive và Telegram.

Nhóm này có tên là Bộ lạc trong suốt, trong lịch sử đã nhắm mục tiêu vào các cơ quan chính phủ và công ty quốc phòng ở Ấn Độ bằng các cuộc tấn công mạng nhằm cố gắng xâm phạm hệ thống Windows và thiết bị Android. Tuy nhiên, trong chiến dịch mới nhất của mình, nhóm này đã ưu ái các hệ thống Linux hơn máy tính Windows, với 65% các cuộc tấn công sử dụng các tệp nhị phân Định dạng có thể thực thi và liên kết (ELF) của Linux nhắm vào hệ thống phân phối MayaOS trong nước của Ấn Độ.

Ismael Valenzuela, phó chủ tịch nghiên cứu và tình báo mối đe dọa tại công ty an ninh mạng BlackBerry cho biết, các chiến dịch mới nhất không phải là một sự khởi đầu trong việc nhắm mục tiêu, vì nhóm này trước đây tập trung vào việc xâm phạm chính phủ, quân đội và công nghiệp tư nhân của Ấn Độ.

“Trong những năm qua, nhóm này đã nhắm mục tiêu vào các quốc gia [và] khu vực khác ngoài Ấn Độ - cụ thể là Mỹ, Châu Âu và Úc - tuy nhiên, mục tiêu chính của nhóm dường như vẫn là Ấn Độ,” ông nói. “Nhóm này đã sử dụng rất nhiều đòn bẩy để nhắm mục tiêu vào chính phủ Ấn Độ hoặc các cơ quan quản lý khác nhau của quốc gia.”

Khu vực Nam Á có bối cảnh mối đe dọa mạng đang hoạt động. Các Nhóm Sidewinder liên kết với Ấn Độ đã nhắm mục tiêu vào Pakistan trong quá khứ, cũng như cả Thổ Nhĩ Kỳ và Trung Quốc, trong khi nhóm Chắp vá đã nhắm mục tiêu vào người Pakistan thông qua việc gieo rắc các ứng dụng Android độc hại vào cửa hàng Google Play. Các Nhóm Evasive Panda có liên hệ với Trung Quốc đã nhắm mục tiêu vào các công dân Tây Tạng ở Ấn Độ và Hoa Kỳ, trong khi một nhóm khác, được mệnh danh là ToddyCat, đã nhắm mục tiêu vào các nhóm ở Việt Nam và Đài Loan.

Bộ lạc trong suốt, còn được gọi là APT36 và Karkaddan Trái đất, trước đây đã sử dụng các trò lừa đảo lãng mạn để phát tán phần mềm độc hại CapraRAT Android chống lại các quan chức chính phủ Ấn Độ mục tiêu có thông tin về khu vực Kashmir. Trong khi đó, Pakistan đã nỗ lực cải thiện tình hình an ninh mạng của mình, huy động 18 triệu USD tài trợ cho nghiên cứu và phát triển an ninh mạng. thêm 36 triệu USD vào ngân sách để phát triển năng lực kỹ thuật an ninh mạng tốt hơn.

Bộ lạc thêm Linux vào mục tiêu của nó

Nhìn chung, Transparent Tribe không được đánh giá là quá phức tạp nhưng đã thành công tốt đẹp khi kết hợp các chiến thuật của mình. Valenzuela cho biết, các cuộc tấn công mới nhất bao gồm nhiều ngôn ngữ lập trình đa nền tảng, lạm dụng các dịch vụ hợp pháp, nhiều tải trọng và vectơ lây nhiễm cũng như việc sử dụng các cơ chế phân phối mới.

Việc nhóm sử dụng các ngôn ngữ lập trình đa nền tảng - bao gồm Python, Golang và Rust - cho phép nhóm tạo ra các chương trình cho cả Windows và Linux, một khả năng quan trọng vì quân đội Ấn Độ sử dụng rộng rãi bản phân phối MayaOS Linux của họ. Cuộc tấn công mới nhất sử dụng các tệp nhị phân ELF để phân phối trình tải xuống dựa trên Python, dẫn đến tiện ích lọc dựa trên Linux, BlackBerry cho biết trong phân tích của mình.

“Các tệp nhị phân ELF này có khả năng phát hiện tối thiểu trên VirusTotal có thể do tính chất nhẹ và sự phụ thuộc vào Python,” phân tích đã nêu.

Theo các công ty bảo mật khác, Transparent Tribe đã chơi đùa với các thỏa hiệp của Linux trong ít nhất một năm. Trong một số trường hợp nhất định, Transparent Tribe dường như nhắm mục tiêu vào các hệ thống Linux bằng cách sử dụng “tệp mục nhập máy tính để bàn” có vẻ như là tài liệu Microsoft Office, Zscaler cho biết trong một phân tích vào tháng 2023 năm XNUMX. Tập tin nhập vào máy tính để bàn cung cấp thông tin và lệnh mà hệ thống máy tính để bàn Linux sử dụng để thực hiện hành động sau khi người dùng chọn một mục menu.

“Việc APT36 sử dụng các tệp mục nhập máy tính để bàn Linux làm vectơ tấn công chưa từng được ghi nhận trước đây,” Zscaler nêu trong phân tích năm 2023. “Véc tơ tấn công này khá mới và dường như được sử dụng trong các cuộc tấn công có quy mô rất thấp. Cho đến nay, nhóm nghiên cứu của chúng tôi đã phát hiện ra ba mẫu — tất cả đều [không] được phát hiện trên VirusTotal.”

Các mẫu trước đây có chứa phần mềm độc hại trên Android, nhưng BlackBerry chưa thấy bất kỳ dấu hiệu nào về mục tiêu của Android trong các chiến dịch mới nhất.

Che giấu phần mềm độc hại trong các bẫy hợp pháp

Bộ lạc trong suốt sử dụng các công cụ và dịch vụ hợp pháp như một phần của cơ sở hạ tầng tấn công của mình, mở rộng xu hướng sống ngoài đất liền. Nhóm này sử dụng email và các trang web bị xâm nhập để lưu trữ tệp nhưng cũng sử dụng Google Drive để bỏ qua việc kiểm tra các miền bị xâm phạm. Valenzuela của BlackBerry cho biết việc sử dụng VoIP và các ứng dụng nhắn tin tức thời như Discord và Telegram dường như là một cách tiếp cận mới.

“Nếu một dịch vụ, công cụ, [hoặc] phần mềm có thể bị lạm dụng, nó có thể trở thành một phương tiện xâm phạm hoặc một phần của chuỗi tấn công - điều này có thể cho phép nhóm APT dường như bay dưới tầm radar và, từ góc độ mạng, ẩn náu trong tầm nhìn rõ ràng,” anh nói. “Việc vũ khí hóa các công cụ hợp pháp không phải là một hiện tượng mới, với nhiều TA hàng hóa [tác nhân đe dọa] và các nhóm APT tận dụng các công cụ có vẻ lành tính và hợp pháp một cách bất hợp pháp để đạt được lợi ích và mục tiêu riêng của họ.”

Theo BlackBerry, trong khi các nhóm khác nhắm mục tiêu vào hệ thống Windows bằng cách sử dụng ảnh ISO - thường xuất hiện dưới dạng đĩa cho hệ điều hành - thì Transparent Tribe chỉ bắt đầu sử dụng ảnh ISO vào cuối năm 2023, theo BlackBerry.

Các hình ảnh ISO được BlackBerry phát hiện đã sử dụng một trong hai mồi nhử PDF: một tài liệu thảo luận về những thay đổi của nhân viên đối với hệ thống lương hưu của quân đội và một tài liệu khác thảo luận về đơn xin vay vốn dành cho quân nhân. Tuy nhiên, cả hai ISO đều cung cấp bot Telegram dựa trên Python nhằm cố gắng xâm phạm các mục tiêu bằng cách sử dụng các tệp thực thi di động (PE) của Windows.

Valenzuela nói: “Mặc dù đây là một kỹ thuật phổ biến trong bối cảnh mối đe dọa rộng lớn hơn, nhưng có vẻ như đây là lần đầu tiên nhóm này sử dụng [hình ảnh ISO] như một phần của chuỗi tấn công của họ”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img