Akt oskarżenia dotyczący grupy hakerskiej znanej jako Transparent Tribe, również identyfikowanej jako APT36, ujawnia nowe ataki skierowane przeciwko indyjskim instytucjom rządowym, akademickim i strategicznym. Hakerzy używają złośliwego oprogramowania typu Remote Access Trojan (RAT), które zapewnia im stały dostęp do zainfekowanych systemów.
Według raportu technicznego opublikowanego przez CYFIRMA, kampania posługuje się wprowadzającymi w błąd technikami dostarczania, takimi jak zainfekowany plik skrótu Windows (LNK), który podszywa się pod dokument PDF. Plik LNK zawiera pełną treść pliku PDF, zanim użytkownik go otworzy, co ma na celu zmylenie potencjalnych ofiar.
Historia działalności Transparent Tribe
Transparent Tribe jest grupą hakerską, która od 2013 roku prowadzi kampanie cyber-espionażowe przeciwko indyjskim instytucjom. Uznawana jest za sponsora państwowego o indyjskim pochodzeniu i jest znana z używania różnorodnych RAT-ów, w tym CapraRAT, Crimson RAT, ElizaRAT oraz DeskRAT.
Mechanizm ataku
Ostatni atak rozpoczął się od e-maila phishingowego zawierającego archiwum ZIP z plikiem LNK podającym się za PDF. Po otwarciu pliku wykonywany jest zdalny skrypt HTML Application (HTA) przy użyciu „mshta.exe”, który dekompresuje i ładuje końcowy payload RAT bezpośrednio do pamięci. W międzyczasie HTA pobiera i otwiera tymczasowy plik PDF, co ma na celu zmylenie użytkowników.
Jak zauważyła CYFIRMA, skrypt HTA wykorzystuje obiekty ActiveX, w szczególności WScript.Shell, do interakcji z systemem Windows. Działania te świadczą o profilowaniu środowiska i manipulacji w czasie wykonywania, co zwiększa niezawodność wykonywania z użyciem „mshta.exe”.
Metody utrzymywania się w systemie
Interesującym aspektem złośliwego oprogramowania jest jego zdolność do dostosowywania metod persystencji w zależności od wykrytych rozwiązań antywirusowych. Na przykład, jeśli wykryty zostanie program Kaspersky, malware tworzy katalog roboczy w „C:\Users\Public\core\”, zapisuje złośliwy ładunek HTA i tworzy skrót w folderze Startup Windows, który uruchamia skrypt HTA.
Podobnie, w przypadku wykrycia Quick Heal, ustala persystencję poprzez stworzenie pliku wsadowego i złośliwego pliku LNK w folderze Startup, a gdy wykryty jest Avast, AVG lub Avira, ładunek jest bezpośrednio kopiowany do folderu Startup i wykonywany. W przypadku braku wykrycia rozwiązania antywirusowego, stosuje kombinację wykonania pliku wsadowego, persystencji w rejestrze oraz rozlokowania ładunku.
Analiza i potencjalne zagrożenia
Drugie HTA obejmuje plik DLL o nazwie „iinneldc.dll”, pełniący rolę pełnowartościowego RAT-a, wspierającego zdalne sterowanie systemem, zarządzanie plikami, eksfiltrację danych, uchwyty ekranu, manipulację schowkiem oraz kontrolę procesów. CYFIRMA zauważa, że APT36 pozostaje istotnym zagrożeniem w obszarze cyber-espionażu, koncentrując się na zbieraniu informacji od indywidualnych instytucji rządowych i edukacyjnych w Indiach.
W ostatnich tygodniach Transparent Tribe powiązano także z inną kampanią, która wykorzystuje złośliwy plik skrótu podszywający się pod rzekomy dokument informacyjny („NCERT-Whatsapp-Advisory.pdf.lnk”), który dostarcza loadera .NET, a następnie zrzuca dodatkowe pliki wykonywalne oraz złośliwe DLL, aby zapewnić zdalne wykonywanie poleceń oraz długotrwały dostęp do systemu.
Podsumowanie
Werdykt pokazuje, że grupy takie jak Transparent Tribe stale udoskonalają swoje metody ataku oraz instrumentarium, aby skutecznie infekować systemy i utrzymywać się w nich, a także komunikować z zewnętrznymi serwerami. Sytuacja ta wymaga pilnego zwrócenia uwagi ze strony instytucji oraz użytkowników, by zminimalizować ryzyko cyberataków tego rodzaju.
