IcePeony en Transparent Tribe richten zich op Indiase entiteiten met cloudgebaseerde tools

Spraakmakende entiteiten in India zijn het doelwit geworden van kwaadaardige campagnes die worden georkestreerd door de in Pakistan gevestigde Transparent Tribe-bedreigingsacteur en een voorheen onbekende cyberspionagegroep uit China, genaamd IcePeony.

De inbraken die verband houden met Transparent Tribe omvatten het gebruik van malware genaamd ElizaRAT en een nieuwe stealer-payload genaamd ApoloStealer op specifieke slachtoffers van interesse, zei Check Point in een technisch artikel dat deze week werd gepubliceerd.

“ElizaRAT-monsters wijzen op een systematisch misbruik van cloudgebaseerde diensten, waaronder Telegram, Google Drive en Slack, om command-and-control-communicatie te vergemakkelijken”, aldus het Israëlische bedrijf.

ElizaRAT is een Windows-tool voor externe toegang (RAT) die Transparent Tribe voor het eerst gebruikte in juli 2023 als onderdeel van cyberaanvallen gericht op Indiase overheidssectoren. De tegenstander is actief sinds minstens 2013 en wordt ook gevolgd onder de namen APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major en PROJECTM.

Het malwarearsenaal omvat tools om Windows-, Android- en Linux-apparaten te compromitteren. De toegenomen targeting op Linux-machines wordt gemotiveerd door het gebruik door de Indiase overheid van een aangepaste Ubuntu-vork genaamd Maya OS sinds vorig jaar.

Infectieketens worden geïnitieerd door CPL-bestanden (Control Panel) die waarschijnlijk worden verspreid via spearphishing-technieken. Tussen december 2023 en augustus 2024 zijn er maar liefst drie verschillende campagnes waargenomen waarbij gebruik werd gemaakt van de RAT, waarbij elk gebruik maakte van Slack, Google Drive en een virtual private server (VPS) voor command-and-control (C2).

Terwijl ElizaRAT de aanvallers in staat stelt volledige controle uit te oefenen over het beoogde eindpunt, is ApoloStealer ontworpen om bestanden te verzamelen die overeenkomen met verschillende extensies (bijvoorbeeld DOC, XLS, PPT, TXT, RTF, ZIP, RAR, JPG en PNG) van de gecompromitteerde host en exfiltreer ze naar een externe server.

In januari 2024 zou de bedreigingsacteur de modus operandi hebben aangepast met een dropper-component die de soepele werking van ElizaRAT garandeert. Ook waargenomen bij recente aanvallen is een extra stealer-module met de codenaam ConnectX, die is ontworpen om te zoeken naar bestanden op externe schijven, zoals USB-sticks.

Cloudgebaseerde tools

Het misbruik van legitieme diensten die veel worden gebruikt in bedrijfsomgevingen verhoogt de dreiging omdat het de detectie-inspanningen bemoeilijkt en het mogelijk maakt dat bedreigingsactoren zich mengen in legitieme activiteiten op het systeem.

“De vooruitgang van ElizaRAT weerspiegelt de doelbewuste inspanningen van APT36 om hun malware te verbeteren om detectie beter te omzeilen en zich effectief te richten op Indiase entiteiten”, aldus Check Point. “De introductie van nieuwe payloads zoals ApoloStealer markeert een aanzienlijke uitbreiding van het malwarearsenaal van APT36 en suggereert dat de groep een flexibelere, modulaire benadering hanteert voor de inzet van payloads.”

IcePeony gaat achter India, Mauritius en Vietnam aan

De onthulling komt weken nadat het nao_sec-onderzoeksteam heeft onthuld dat een geavanceerde persistente dreigingsgroep (APT), die zij IcePeony noemt, zich sinds minstens 2023 heeft gericht op overheidsinstanties, academische instellingen en politieke organisaties in landen als India, Mauritius en Vietnam.

“Hun aanvallen beginnen doorgaans met SQL-injectie, gevolgd door compromissen via webshells en backdoors”, aldus beveiligingsonderzoekers Rintaro Koike en Shota Nakajima. “Uiteindelijk willen ze inloggegevens stelen.”

Een van de meest opmerkelijke tools in het malwareportfolio is IceCache, dat is ontworpen om Microsoft Internet Information Services (IIS)-instanties aan te vallen. Een ELF-binair bestand geschreven in de programmeertaal Go, het is een aangepaste versie van de reGeorg-webshell met extra functies voor bestandsoverdracht en opdrachtuitvoering.

Cloudgebaseerde tools

De aanvallen worden ook gekenmerkt door het gebruik van een unieke achterdeur in passieve modus, IceEvent genaamd, die wordt geleverd met mogelijkheden om bestanden te uploaden/downloaden en opdrachten uit te voeren.

“Het lijkt erop dat de aanvallers zes dagen per week werken”, merkten de onderzoekers op. “Hoewel ze op vrijdag en zaterdag minder actief zijn, lijkt hun enige volledige vrije dag de zondag te zijn. Uit dit onderzoek blijkt dat de aanvallers deze aanvallen niet als persoonlijke activiteiten uitvoeren, maar in plaats daarvan uitvoeren als onderdeel van georganiseerde, professionele operaties. “

Thijs Van der Does