De Pakistan-nexus Transparante stam actor is gekoppeld aan een nieuwe reeks aanvallen gericht op de Indiase overheid, defensie en ruimtevaartsector, waarbij gebruik wordt gemaakt van platformonafhankelijke malware geschreven in Python, Golang en Rust.
“Deze cluster van activiteiten duurde van eind 2023 tot april 2024 en zal naar verwachting voortduren”, aldus het BlackBerry Research and Intelligence Team in een eerder deze week gepubliceerd technisch rapport.
De spearphishing-campagne valt ook op door het misbruik van populaire onlinediensten zoals Discord, Google Drive, Slack en Telegram, wat eens te meer onderstreept hoe dreigingsactoren legitieme programma's in hun aanvalsstromen opnemen.
Volgens BlackBerry waren drie bedrijven die cruciale stakeholders en klanten zijn van het Department of Defense Production (DDP) het doelwit van de op e-mail gebaseerde aanvallen. Alle drie de beoogde bedrijven hebben hun hoofdkantoor in de Indiase stad Bengaluru.
Hoewel de namen van de bedrijven niet zijn bekendgemaakt, zijn er aanwijzingen dat de e-mailberichten gericht waren aan Hindustan Aeronautics Limited (HAL), een van de grootste lucht- en ruimtevaart- en defensiebedrijven ter wereld; Bharat Electronics Limited (BEL), een overheidsbedrijf voor ruimtevaart- en defensie-elektronica; en BEML Limited, een onderneming uit de publieke sector die grondverzetapparatuur produceert.
Transparent Tribe wordt ook gevolgd door de grotere cyberbeveiligingsgemeenschap onder de namen APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major en PROJECTM.
Het vijandige collectief, dat vermoedelijk al sinds 2013 actief is, heeft een staat van dienst op het gebied van het uitvoeren van cyberspionageoperaties tegen regerings-, leger- en onderwijsinstellingen in India, hoewel het ook zeer gerichte mobiele spywarecampagnes heeft ondernomen tegen slachtoffers in Pakistan, Afghanistan, Irak, Iran en de Verenigde Arabische Emiraten.
Bovendien staat de groep erom bekend te experimenteren met nieuwe inbraakmethoden en heeft ze in de loop der jaren verschillende malware doorlopen, waarbij ze hun tactieken en toolkit vele malen hebben herhaald om detectie te omzeilen.
Enkele van de opmerkelijke malwarefamilies die door Transparent Tribe worden gebruikt, zijn CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango en Tangelo, waarbij de laatste twee zijn gekoppeld aan een freelance ontwikkelaarsgroep gevestigd in Lahore.
Deze ontwikkelaars zijn “beschikbaar voor verhuur” en “minstens één overheidsmedewerker werkt als ontwikkelaar van mobiele apps”, merkte mobiel beveiligingsbedrijf Lookout al in 2018 op.
Aanvalsketens die door de groep zijn opgezet, omvatten het gebruik van spearphishing-e-mails om ladingen te bezorgen met behulp van kwaadaardige links of ZIP-archieven, waarbij hun inspanningen vooral gericht zijn op het verspreiden van ELF-binaire bestanden vanwege de sterke afhankelijkheid van de Indiase overheid van op Linux gebaseerde besturingssystemen.
De infecties culmineerden in de inzet van drie verschillende versies van GLOBSHELL, een op Python gebaseerd hulpprogramma voor het verzamelen van informatie dat eerder door Zscaler werd gedocumenteerd in verband met aanvallen gericht op de Linux-omgeving binnen Indiase overheidsorganisaties. Ook wordt PYSHELLFOX ingezet om gegevens uit Mozilla Firefox te exfiltreren.
BlackBerry zei dat het ook bash-scriptversies en op Python gebaseerde Windows-binaire bestanden ontdekte die werden aangeboden vanuit het door de bedreigingsacteur gecontroleerde domein “apsdelhicantt(.)in” –
- Swift_script.sheen bash-versie van GLOBSHELL
- Silverlining.sheen open-source command-and-control (C2) raamwerk genaamd Sliver
- Swift_uzb.sheen script om bestanden van een aangesloten USB-stuurprogramma te verzamelen
- afd.exeeen tussenliggend uitvoerbaar bestand dat verantwoordelijk is voor het downloaden van win_hta.exe en win_service.exe
- win_hta.exe en win_service.exetwee Windows-versies van GLOBSHELL
In wat een teken is van de tactische evolutie van Transparent Tribe, zijn phishing-campagnes georkestreerd in oktober 2023 waargenomen waarbij gebruik werd gemaakt van ISO-images om de op Python gebaseerde trojan voor externe toegang in te zetten die Telegram voor C2-doeleinden gebruikt.
Het is de moeite waard erop te wijzen dat het gebruik van ISO-lokmiddelen om Indiase overheidsinstanties aan te vallen een aanpak is die sinds het begin van het jaar wordt waargenomen als onderdeel van twee mogelijk gerelateerde inbraakreeksen – een modus operandi die het Canadese cyberbeveiligingsbedrijf verklaarde: “had het kenmerk van een Transparante stamaanvalketen.”
Verdere infrastructuuranalyse heeft ook een door Golang samengesteld 'alles-in-één'-programma aan het licht gebracht dat de mogelijkheid heeft om bestanden met populaire bestandsextensies te vinden en te exfiltreren, schermafbeeldingen te maken, bestanden te uploaden en downloaden en opdrachten uit te voeren.
De spionagetool, een aangepaste versie van een open-sourceproject Discord-C2, ontvangt instructies van Discord en wordt geleverd via een ELF binaire downloader verpakt in een ZIP-archief.
“Transparent Tribe heeft zich voortdurend gericht op kritieke sectoren die van vitaal belang zijn voor de nationale veiligheid van India”, aldus BlackBerry. “Deze bedreigingsactoren blijven een kernreeks tactieken, technieken en procedures (TTP’s) gebruiken, die ze in de loop van de tijd hebben aangepast.”
