17/04/23
По данным компании SentinelOne, предположительно базирующаяся в Пакистане группировка Transparent Tribe (APT36, Operation C-Major, PROJECTM и Mythic Leopard) проводит кибератаки на сектор образования Индии с целью развертывания вредоносного ПО под названием Crimson RAT. Это передает Securitylab.
Вредоносная программа на основе .NET имеет следующие возможности:
- Эксфильтрация файлов и системных данных на сервер злоумышленника (С2);
- Создание снимков экрана;
- Завершение запущенных процессов;
- Загрузка и выполнение дополнительных полезных нагрузок для регистрации нажатий клавиш (кейлоггинг) и кражи учетных данных браузера.
В ходе кампании Transparent Tribe распространяет заражённые документы Microsoft Office, которые содержат образовательный контент и называются как «Задание» или «Задание №10». Документы используют вредоносный код макроса для запуска Crimson RAT, пишет Securitylab. В других случаях группировка использовала технологии встраивания OLE (Object Linking and Embedding) для запуска вредоносного ПО.
Специалисты SentinelOne поясняют, что вредоносные документы, реализующие технику OLE, требуют от пользователя двойного щелчка по элементу документа, чтобы разблокировать контент.
Функция заставляет пользователей дважды щелкнуть по изображению для просмотра содержимого, тем самым активируя пакет OLE, который хранит и выполняет Crimson RAT, маскируясь под процесс обновления.
Также было замечено, что варианты Crimson RAT задерживают свое выполнение на определенный период времени – от 1 до 4 минут, а также реализуют различные методы обфускации с использованием инструментов Crypto Obfuscator и Eazfuscator.
Эта кампания, не единственная операция группы, нацеленная на Индию. Ранее Transparent Tribe была связана с продолжающейся кампанией кибершпионажа, нацеленной на индийских и пакистанских пользователей Android с помощью бэкдора под названием CapraRAT. По предварительным оценкам, жертвами стали около 150 человек. Вредоносное ПО можно было загрузить с поддельных фишинговых веб-сайтов, а само приложение по своему интерфейсу и названию определённо является своеобразной пародией на WhatsApp.
