Les cybercriminels ayant des liens présumés avec le Pakistan continuent de s’appuyer sur l’ingénierie sociale en tant qu’élément crucial de ses opérations dans le cadre d’une campagne d’espionnage en évolution contre des cibles indiennes, selon une nouvelle étude.
Les attaques ont été liées à un groupe appelé Tribu transparente, également connu sous le nom d’Opération C-Major, APT36 et Mythic Leopard, qui a créé des domaines frauduleux imitant des organisations militaires et de défense indiennes légitimes, et d’autres domaines malveillants se faisant passer pour des sites de partage de fichiers pour héberger des artefacts malveillants.
« Alors que le personnel militaire et de défense continue d’être les principales cibles du groupe, Transparent Tribe cible de plus en plus les entités diplomatiques, les entrepreneurs de la défense, les organismes de recherche et les participants aux conférences, indiquant que le groupe élargit son ciblage », des chercheurs de Cisco Talos mentionné jeudi.
Ces domaines sont utilisés pour fournir des maldocs distribuant CrimsonRAT et ObliqueRAT, le groupe intégrant de nouveaux hameçonnage, des leurres tels que des CV, des ordres du jour de conférence et des thèmes de défense et diplomatiques dans sa boîte à outils opérationnelle. Il convient de noter qu’APT36 était auparavant lié à une campagne de logiciels malveillants ciblant des organisations d’Asie du Sud pour déployer ObliqueRAT sur les systèmes Windows sous le couvert d’images apparemment inoffensives hébergées sur des sites Web infectés.
Les infections ObliqueRAT ont également tendance à s’écarter de celles impliquant CrimsonRAT en ce que les charges utiles malveillantes sont injectées sur des sites Web compromis au lieu d’incorporer le malware dans les documents eux-mêmes. Dans un cas identifié par les chercheurs de Talos, il a été constaté que les adversaires utilisaient le site Web légitime de l’Indian Industries Association pour héberger le logiciel malveillant ObliqueRAT, avant de créer de faux sites Web ressemblant à ceux d’entités légitimes du sous-continent indien en utilisant un utilitaire de copie de site Web open-source. appelé HTTrack.
Un autre faux domaine mis en place par l’acteur de la menace se fait passer pour un portail d’information pour la 7e Commission centrale des paiements (7CPC) de l’Inde, exhortant les victimes à remplir un formulaire et à télécharger un guide personnel qui, une fois ouvert, exécute le CrimsonRAT lors de l’activation des macros dans la feuille de calcul téléchargée. Dans le même ordre d’idées, un troisième domaine voyou enregistré par les attaquants se fait passer pour un groupe de réflexion indien appelé Center For Land Warfare Studies (CLAWS).
« Transparent Tribe s’appuie fortement sur l’utilisation de maldocs pour diffuser ses implants Windows », ont déclaré les chercheurs. « Alors que CrimsonRAT reste l’implant Windows de base du groupe, leur développement et leur distribution d’ObliqueRAT au début de 2020 indiquent qu’ils sont en train d’étendre rapidement leur arsenal de malwares Windows. »
En élargissant sa victimologie, en changeant son arsenal de logiciels malveillants et en concevant des leurres convaincants, l’acteur de la menace a manifesté une volonté claire de donner à ses opérations un vernis de légitimité dans l’espoir que cela augmenterait les chances de succès.
« Les tactiques, techniques et procédures (TTP) de Transparent Tribe sont restées en grande partie inchangées depuis 2020, mais le groupe continue de mettre en œuvre de nouveaux leurres dans sa boîte à outils opérationnelle », ont déclaré les chercheurs. «La variété des leurres maldoc utilisés par Transparent Tribe indique que le groupe s’appuie toujours sur l’ingénierie sociale comme élément central de ses opérations.
