Los ciberdelincuentes con presuntos vínculos con Pakistán continúan dependiendo de la ingeniería social como un componente crucial de sus operaciones como parte de una campaña de espionaje en evolución contra objetivos indios, según una nueva investigación.
Los ataques se han relacionado con un grupo llamado Tribu Transparente , también conocido como Operación C-Major, APT36 y Mythic Leopard, que ha creado dominios fraudulentos que imitan a las organizaciones militares y de defensa legítimas de la India, y otros dominios falsos que se hacen pasar por sitios de intercambio de archivos para albergar artefactos maliciosos.
«Si bien el personal militar y de defensa siguen siendo los objetivos principales del grupo, Transparent Tribe apunta cada vez más a entidades diplomáticas, contratistas de defensa, organizaciones de investigación y asistentes a conferencias, lo que indica que el grupo está ampliando sus objetivos», dijeron investigadores de Cisco Talos el jueves.
Estos dominios se utilizan para entregar maldocs que distribuyen CrimsonRAT y ObliqueRAT, y el grupo incorpora nuevos señuelos de phishing como documentos de currículum, agendas de conferencias y temas de defensa y diplomáticos en su conjunto de herramientas operativas. Vale la pena señalar que APT36 se vinculó anteriormente a una campaña de malware dirigida a organizaciones en el sur de Asia para implementar ObliqueRAT en sistemas Windows bajo la apariencia de imágenes aparentemente inocuas alojadas en sitios web infectados.
Las infecciones de ObliqueRAT también tienden a desviarse de las que involucran a CrimsonRAT en el sentido de que las cargas útiles maliciosas se inyectan en sitios web comprometidos en lugar de incrustar el malware en los propios documentos. En un caso identificado por los investigadores de Talos, se descubrió que los adversarios usaban el sitio web legítimo de la Asociación de Industrias de la India para alojar el malware ObliqueRAT, antes de configurar sitios web falsos que se asemejan a los de entidades legítimas en el subcontinente indio mediante el uso de una utilidad de copiadora de sitios web de código abierto. llamado HTTrack.
Otro dominio falso creado por el actor de amenazas se hace pasar por un portal de información para la 7ma Comisión Central de Pago (7CPC) de India, instando a las víctimas a completar un formulario y descargar una guía personal que, cuando se abre, ejecuta CrimsonRAT al habilitar macros en la hoja de cálculo descargada. En una línea similar, un tercer dominio deshonesto registrado por los atacantes se hace pasar por un grupo de expertos indio llamado Centro de Estudios de Guerra Terrestre (CLAWS).
«Transparent Tribe se basa en gran medida en el uso de maldocs para difundir sus implantes de Windows», dijeron los investigadores. «Si bien CrimsonRAT sigue siendo el implante básico de Windows del grupo, su desarrollo y distribución de ObliqueRAT a principios de 2020 indica que están expandiendo rápidamente su arsenal de malware de Windows».
Al expandir su victimología, cambiar su arsenal de malware y diseñar señuelos convincentes, el actor de amenazas ha mostrado una clara voluntad de dar a sus operaciones un barniz de legitimidad con la esperanza de que hacerlo aumentaría las probabilidades de éxito.
«Las tácticas, técnicas y procedimientos (TTP) de Transparent Tribe se han mantenido prácticamente sin cambios desde 2020, pero el grupo continúa implementando nuevos señuelos en su conjunto de herramientas operativas», dijeron los investigadores. «La variedad de señuelos maldoc que emplea Transparent Tribe indica que el grupo todavía depende de la ingeniería social como un componente central de sus operaciones».