01/10/24
Специалисты Cyfirma провели OSINT-расследование и выявили инфраструктуру, связанную с группой «Transparent Tribe» (APT36), уделяя особое внимание серверам командного управления (C2). Исследование началось после публикации в X* эксперта по безопасности @PrakkiSathwik, который обнаружил два IP-адреса, связанных с C2-серверами группы — 206.189.134.185 и 143.198.64.151.
Исходной точкой исследования был IP-адрес 143.198.64.151, зарегистрированный на платформе DigitalOcean (ASN AS14061), пишет Securitylab. Этот IP был идентифицирован как Mythic C2-сервер, работающий на портах 22 (SSH), 80 (HTTP) и 7443 (HTTPS). Mythic — это многофункциональный фреймворк для проведения пост-эксплуатационных операций, предназначенный для командных учений, но также часто используемый злоумышленниками.
Для выявления других серверов, связанных с этой инфраструктурой, применялись инструменты для сканирования и анализа серверов, такие как JARM (для определения конфигураций TLS) и метаданные HTML-титулов. В результате специалисты выявили 15 IP-адресов, также зарегистрированных на DigitalOcean и связанных с фреймворком Mythic.
Было обнаружено, что в ходе атаки используются файлы Linux desktop entry, замаскированные под PDF и распространяющие вредоносный код. Эти файлы впервые были обнаружены в Индии, что указывает на возможную цель кампании — индийских пользователей и организации. Это согласуется с историей активности Transparent Tribe, которая известна атаками на индийские правительственные структуры через фишинг и другие векторы атак.
Transparent Tribe активно использует Linux-среды, учитывая их широкое распространение в правительственных организациях Индии, особенно на базе операционных систем Debian, таких как BOSS OS и Maya OS.
Как уже было упомянуто выше, расследование выявило 15 IP-адресов, связанных с использованием Mythic и Poseidon-агентов. Эти адреса функционируют как C2-серверы, позволяющие злоумышленникам управлять зараженными системами.
APT36, также известная как Transparent Tribe, — группа, предположительно базирующаяся в Пакистане, действующая с 2013 года. Несмотря на ограниченные технические возможности, группа демонстрирует настойчивость и постоянное развитие тактик. Основными целями являются правительственные, оборонные и образовательные структуры Индии.
В ходе атак злоумышленники применяют фишинг и распространяют вредоносные программы с использованием Linux-бинарных файлов и open source инструментов, таких как Mythic. Используемые ими методы позволяют обходить традиционные средства безопасности и обеспечивать постоянный доступ к зараженным системам.
