O grupo de ameaça Transparent Tribe foi associado a um conjunto de documentos do Microsoft Office com armas em ataques visando o setor educacional indiano, usando um malware chamado Crimson RAT.
Embora o grupo suspeito de origem no Paquistão seja conhecido por atacar entidades militares e governamentais no país, as atividades se expandiram para incluir o setor educacional.
O grupo de hackers, também conhecido como APT36, Operation C-Major, PROJECTM e Mythic Leopard, tem estado ativo desde 2013.
As instituições educacionais têm sido alvos de ataques desde o final de 2021.
O malware Crimson RAT tem a funcionalidade de exfiltrar arquivos e dados do sistema para um servidor controlado pelo agente.
Ele também é construído com a capacidade de capturar capturas de tela, encerrar processos em execução e baixar e executar payloads adicionais para registrar toques de teclado e roubar credenciais do navegador.
No mês passado, a ESET atribuiu o Transparent Tribe a uma campanha de espionagem cibernética com o objetivo de infectar usuários de Android indianos e paquistaneses com um backdoor chamado CapraRAT.
Uma análise de amostras Crimson RAT revelou a presença da palavra "Wibemax", corroborando um relatório anterior da Fortinet.
Embora o nome corresponda ao de uma empresa de desenvolvimento de software paquistanesa, não está imediatamente claro se ele compartilha alguma conexão direta com o grupo de ameaças.
Dito isso, é importante notar que o Transparent Tribe já utilizou infraestrutura operada por um provedor de hospedagem na web chamado Zain Hosting em ataques visando o setor educacional indiano.
Os documentos analisados pela SentinelOne apresentam conteúdo temático educacional e nomes como "assignment" ou "Assignment-no-10", e fazem uso de código macro malicioso para lançar o Crimson RAT.
Outro método envolve o uso de incorporação OLE para encenar o malware.
"Documentos maliciosos que implementam essa técnica exigem que os usuários cliquem duas vezes em um elemento do documento", explicou Milenkoski.
"Esses documentos distribuídos pelo Transparent Tribe normalmente exibem uma imagem (um gráfico 'Visualizar Documento') indicando que o conteúdo do documento está bloqueado".
Isso, por sua vez, engana os usuários a clicarem duas vezes no gráfico para visualizar o conteúdo, ativando assim um pacote OLE que armazena e executa o Crimson RAT, disfarçando-se como um processo de atualização.
Variantes do Crimson RAT também foram observadas atrasando sua execução por um período de tempo específico que varia entre um minuto e quatro minutos, além de implementar diferentes técnicas de ofuscação usando ferramentas como Crypto Obfuscator e Eazfuscator.
"O Transparent Tribe é um grupo de ameaças altamente motivado e persistente que atualiza regularmente seu arsenal de malware, playbook operacional e alvo", disse Milenkoski.
"As estratégias operacionais e de segmentação em constante mudança do Transparent Tribe exigem vigilância constante para mitigar a ameaça representada pelo grupo".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...