IcePeony và Transparent Tribe nhắm mục tiêu vào các thực thể Ấn Độ

Tác giả Starlink, T.M.Một 16, 2024, 11:41:46 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Nhiều tổ chức cấp cao ở Ấn Độ đã trở thành mục tiêu của các chiến dịch độc hại do nhóm tin tặc Transparent Tribe có trụ sở tại Pakistan và một nhóm gián điệp mạng chưa từng được biết đến có liên hệ với Trung Quốc có tên IcePeony dàn dựng.

Trong một bài viết kỹ thuật được công bố trong tuần này, Check Point cho biết các cuộc xâm nhập liên quan đến Transparent Tribe bao gồm việc sử dụng phần mềm độc hại có tên ElizaRAT và một phần mềm đánh cắp dữ liệu mới có tên ApoloStealer nhắm vào các nạn nhân cụ thể cần quan tâm.


Công ty Israel cho biết : "Các mẫu ElizaRAT cho thấy sự lạm dụng có hệ thống các dịch vụ đám mây, bao gồm Telegram, Google Drive và Slack, để tạo điều kiện cho việc liên lạc chỉ huy và kiểm soát".

ElizaRAT là một công cụ truy cập từ xa (RAT) của Windows mà Transparent Tribe lần đầu tiên được phát hiện sử dụng vào tháng 7 năm 2023 như một phần của các cuộc tấn công mạng nhắm vào các khu vực chính phủ Ấn Độ. Hoạt động ít nhất từ năm 2013, kẻ thù cũng được theo dõi dưới các tên APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major và PROJECTM.

Kho vũ khí phần mềm độc hại của nó bao gồm các công cụ để xâm phạm các thiết bị Windows, Android và Linux. Việc nhắm mục tiêu nhiều hơn vào các máy Linux được thúc đẩy bởi việc chính phủ Ấn Độ sử dụng một nhánh Ubuntu tùy chỉnh có tên là Maya OS kể từ năm ngoái.

Chuỗi lây nhiễm được khởi tạo bởi các tệp Control Panel (CPL) có khả năng được phân phối thông qua các kỹ thuật lừa đảo qua thư điện tử. Có tới ba chiến dịch riêng biệt sử dụng RAT đã được quan sát thấy trong khoảng thời gian từ tháng 12 năm 2023 đến tháng 8 năm 2024, mỗi chiến dịch đều sử dụng Slack, Google Drive và máy chủ riêng ảo (VPS) để chỉ huy và kiểm soát (C2).

Trong khi ElizaRAT cho phép kẻ tấn công kiểm soát hoàn toàn điểm cuối mục tiêu, ApoloStealer được thiết kế để thu thập các tệp có nhiều phần mở rộng (ví dụ: DOC, XLS, PPT, TXT, RTF, ZIP, RAR, JPG và PNG) từ máy chủ bị xâm nhập và truyền chúng đến máy chủ từ xa.

Vào tháng 1 năm 2024, tác nhân đe dọa được cho là đã điều chỉnh phương thức hoạt động để bao gồm một thành phần dropper đảm bảo ElizaRAT hoạt động trơn tru. Ngoài ra, trong các cuộc tấn công gần đây còn phát hiện ra một mô-đun đánh cắp bổ sung có tên mã là ConnectX được thiết kế để tìm kiếm các tệp từ ổ đĩa ngoài, chẳng hạn như USB.


Việc lạm dụng các dịch vụ hợp pháp được sử dụng rộng rãi trong môi trường doanh nghiệp làm gia tăng mối đe dọa vì nó làm phức tạp nỗ lực phát hiện và cho phép kẻ tấn công trà trộn vào các hoạt động hợp pháp trên hệ thống.

"Sự tiến triển của ElizaRAT phản ánh những nỗ lực có chủ đích của APT36 nhằm nâng cao phần mềm độc hại của họ để tránh bị phát hiện tốt hơn và nhắm mục tiêu hiệu quả vào các thực thể Ấn Độ", Check Point cho biết. "Việc giới thiệu các tải trọng mới như ApoloStealer đánh dấu sự mở rộng đáng kể kho vũ khí phần mềm độc hại của APT36 và cho thấy nhóm này đang áp dụng cách tiếp cận linh hoạt hơn, theo mô-đun hơn để triển khai tải trọng".

IcePeony hướng đến Ấn Độ, Mauritius và Việt Nam. Việc tiết lộ này được đưa ra vài tuần sau khi nhóm nghiên cứu nao_sec tiết lộ rằng một nhóm tấn công liên tục nâng cao (APT) có tên IcePeony đã nhắm mục tiêu vào các cơ quan chính phủ, tổ chức học thuật và tổ chức chính trị ở các quốc gia như Ấn Độ, Mauritius và Việt Nam kể từ ít nhất năm 2023.

"Các cuộc tấn công của họ thường bắt đầu bằng SQL Injection, sau đó là xâm nhập thông qua web shell và backdoor", các nhà nghiên cứu bảo mật Rintaro Koike và Shota Nakajima cho biết. "Cuối cùng, họ nhắm đến việc đánh cắp thông tin đăng nhập".

Một trong những công cụ đáng chú ý nhất trong danh mục phần mềm độc hại của nó là IceCache, được thiết kế để nhắm mục tiêu vào các phiên bản Microsoft Internet Information Services ( IIS ). Một tệp nhị phân ELF được viết bằng ngôn ngữ lập trình Go, đây là phiên bản tùy chỉnh của web shell reGeorg với các tính năng truyền tệp và thực thi lệnh bổ sung.


Các cuộc tấn công này cũng được đặc trưng bởi việc sử dụng một cửa hậu thụ động độc đáo được gọi là IceEvent có khả năng tải lên/tải xuống tệp và thực thi lệnh.

"Có vẻ như những kẻ tấn công làm việc sáu ngày một tuần", các nhà nghiên cứu lưu ý. "Mặc dù chúng ít hoạt động hơn vào thứ Sáu và thứ Bảy, nhưng ngày nghỉ trọn vẹn duy nhất của chúng dường như là Chủ Nhật. Cuộc điều tra này cho thấy những kẻ tấn công không thực hiện các cuộc tấn công này như các hoạt động cá nhân, mà thay vào đó, chúng tham gia vào chúng như một phần của các hoạt động chuyên nghiệp có tổ chức".