Hackers utilizam malwares em Python, Golang e Rust contra alvos indianos
27 de Maio de 2024

O ator com conexões no Paquistão, Transparent Tribe, foi associado a um novo conjunto de ataques direcionados aos setores de governo, defesa e aeroespacial da Índia usando malware multiplataforma escrito em Python, Golang e Rust.

"Este cluster de atividades se estendeu desde o final de 2023 até abril de 2024 e é previsto que persista", disse a equipe de Pesquisa e Inteligência da BlackBerry em um relatório técnico publicado no início desta semana.

A campanha de spear-phishing também é notável pelo seu abuso de serviços online populares como Discord, Google Drive, Slack e Telegram, reforçando mais uma vez como os atores de ameaças estão adotando programas legítimos em seus fluxos de ataque.

De acordo com a BlackBerry, os alvos dos ataques baseados em email incluíam três empresas que são partes interessadas cruciais e clientes do Departamento de Produção de Defesa (DDP).

Todas as três empresas visadas têm sede na cidade indiana de Bengaluru.

Embora os nomes das firmas não tenham sido divulgados, indicações são que as mensagens de email visavam a Hindustan Aeronautics Limited (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; a Bharat Electronics Limited (BEL), uma empresa governamental de eletrônicos aeroespaciais e de defesa; e a BEML Limited, uma empresa pública que fabrica equipamentos para movimentação de terra.

Transparent Tribe também é monitorado pela comunidade maior de cibersegurança sob os nomes APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.

O coletivo adversário, acreditado em estar ativo desde pelo menos 2013, tem um histórico de condução de operações de ciberespionagem contra entidades governamentais, militares e educacionais na Índia, embora também tenha realizado campanhas de spyware móvel altamente direcionadas contra vítimas no Paquistão, Afeganistão, Iraque, Irã e nos Emirados Árabes Unidos.

Além disso, o grupo é conhecido por experimentar novos métodos de intrusão e tem alternado diferentes malwares ao longo dos anos, iterando em suas táticas e kit de ferramentas várias vezes para evadir detecção.

Algumas das famílias de malware notáveis utilizadas pelo Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, com esses dois últimos vinculados a um grupo de desenvolvedores freelancers baseado em Lahore.

Esses desenvolvedores estão "disponíveis para contratação" e "pelo menos um funcionário do governo trabalha como desenvolvedor de aplicativos móveis em paralelo", notou a empresa de segurança móvel Lookout lá em 2018.

As cadeias de ataque montadas pelo grupo envolvem o uso de emails de spear-phishing para entregar payloads usando links maliciosos ou arquivos ZIP, focando especialmente seus esforços na distribuição de binários ELF devido à forte dependência do governo indiano em sistemas operacionais baseados em Linux.

As infecções culminaram na implantação de três versões diferentes do GLOBSHELL, uma utilidade de coleta de informações baseada em Python que foi previamente documentada pela Zscaler em conexão com ataques visando o ambiente Linux dentro de organizações governamentais indianas.

Também foi implantado o PYSHELLFOX para exfiltrar dados do Mozilla Firefox.

A BlackBerry disse que também descobriu versões de script bash e binários baseados em Python para Windows sendo servidos do domínio controlado pelo ator de ameaça "apsdelhicantt[.]in":

- swift_script.sh, uma versão bash do GLOBSHELL
- Silverlining.sh, um framework de comando e controle (C2) open source chamado Sliver
- swift_uzb.sh, um script para coletar arquivos de um driver USB conectado
- afd.exe, um executável intermediário responsável por baixar win_hta.exe e win_service.exe
- win_hta.exe e win_service.exe, duas versões Windows do GLOBSHELL

Como um sinal da evolução tática do Transparent Tribe, campanhas de phishing orquestradas em outubro de 2023 foram observadas fazendo uso de imagens ISO para implantar o trojan de acesso remoto baseado em Python que utiliza o Telegram para fins de C2.

Vale ressaltar que o uso de iscas ISO para visar entidades governamentais indianas tem sido uma abordagem observada desde o início do ano como parte de dois conjuntos de intrusão possivelmente relacionados - um modus operandi que a empresa canadense de cibersegurança afirmou: "tinha a marca registrada de uma cadeia de ataque do Transparent Tribe".

Uma análise mais aprofundada da infraestrutura também descobriu um programa "tudo em um" compilado em Golang que tem a capacidade de encontrar e exfiltrar arquivos com extensões de arquivo populares, tirar capturas de tela, carregar e baixar arquivos e executar comandos.

A ferramenta de espionagem, uma versão modificada de um projeto open-source Discord-C2, recebe instruções do Discord e é entregue via um downloader de binário ELF embalado dentro de um arquivo ZIP.

"O Transparent Tribe tem visado persistentemente setores críticos vitais para a segurança nacional da Índia", disse a BlackBerry.

Este ator de ameaça continua a utilizar um conjunto central de táticas, técnicas e procedimentos (TTPs), os quais têm sido adaptados ao longo do tempo.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...