Um zoom no grupo “Transparent Tribe”

Operações repletas de habilidade admirável

• Ao longo dos anos, os TTPs usados ​​pelo grupo permaneceram consistentes e persistentes no emprego de certas ferramentas e na criação de novos programas para diferentes campanhas de espionagem. Como vetor de infecção, eles preferem principalmente documentos maliciosos com uma macro incorporada.
• Principalmente, o Transparent Tribe implanta um malware personalizado de Trojan de acesso remoto (RAT) .NET, comumente conhecido como RAT Crimson. No entanto, ao longo dos anos, os pesquisadores observaram o uso de um RAT baseado em Python conhecido como Peppy e outro malware .NET personalizado.
• Uma nova ferramenta de ataque USB, USBWorm, também foi projetada pela Transparent Tribe. A ferramenta é composta de dois componentes principais – um ladrão de arquivos para mídia removível e um recurso de worm para mover para sistemas vulneráveis.

Vivo e intacto

• Depois de rastrear Transparent Tribe por mais de quatro anos, a pesquisa recente da Kaspersky sugere que o grupo está trabalhando na atualização de seu conjunto de ferramentas e diversificação de sua operação – o que agora envolve ameaças móveis. O fornecedor de segurança cibernética descobriu um novo spyware Android que utiliza conteúdo explícito e informações relacionadas ao COVID-19 para instalar um RAT em dispositivos móveis.
• Os operadores da Transparent Tribe desenvolveram uma nova ferramenta para infectar dispositivos USB para vigilância e espionagem do governo e militares na Índia e no Afeganistão. O grupo inicia a cadeia de ataques enviando e-mails de spearphishing anexados a documentos maliciosos do Microsoft Office, incluindo uma macro incorporada que implanta um RAT Crimson.

O quê mais?

As novas evidências da Kaspersky confirmam uma conexão entre a Tribo Transparente e ObliqueRAT , outra família RAT maliciosa. Algumas amostras do ObliqueRAT – descobertas pelo Cisco Talos – foram distribuídas por meio de documentos maliciosos incluídos em macros que se assemelhavam àquelas utilizadas para espalhar o RAT carmesim.

Conclusão

Nos últimos 12 meses, Transparent Tribe conduziu uma enorme campanha contra pessoal diplomático e militar para espioná-los implacavelmente. Com a descoberta de suas novas ferramentas de malware personalizadas, os pesquisadores não esperam uma queda nas operações do grupo tão cedo.

Fonte: https://cyware.com/news/zooming-in-on-transparent-tribe-5aba9b21