APT36 aprimora as ferramentas enquanto se concentra em novos alvos

O que aconteceu?

De acordo com um relatório da Kaspersky , o grupo geralmente prefere manter o mesmo conjunto de táticas, técnicas e procedimentos (TTPs), com o uso ocasional de novos programas para campanhas específicas.

• O relatório sugere que o ator da ameaça está gradualmente remando em suas atividades, com campanhas massivas de infecção e usando novas ferramentas para atingir o Afeganistão.
• Embora geralmente implante um malware .NET personalizado conhecido como Crimson RAT, foi visto desenvolvendo e usando outro malware .NET personalizado e Peppy RAT baseado em Python.
• Entre junho de 2019 e junho de 2020, mais de 200 amostras de componentes Transparent Tribe Crimson foram detectadas.

Modus operandi

• Os invasores usam e-mails de spear-phishing contendo um anexo do Microsoft Office. O documento é carregado com o RAT Crimson que, após a execução, pode roubar arquivos, capturar imagens e logs de chave, colher credenciais armazenadas em navegadores e controlar microfones e webcams.
• Ele também usa o USBWorm, um malware de dupla finalidade que pode atuar como um ladrão de arquivos para unidades removíveis, bem como um worm que pode saltar pela rede para encontrar novas máquinas vulneráveis.

Ataques recentes

• Em junho, fontes da agência de inteligência confirmaram que os atores do APT36 roubaram dados das ferrovias indianas e os armazenaram em locais estrangeiros.
• Em março, o grupo foi visto usando e -mails de spear-phishing fingindo ser uma comunicação oficial do governo da Índia.

Em essência

Durante os últimos 12 meses, os pesquisadores observaram uma ampla campanha da Transparent Tribe APT contra alvos militares e diplomáticos. Eles não esperam nenhuma redução nas ameaças deste grupo no futuro próximo e continuarão monitorando suas atividades.