O nexo com o Paquistão Tribo Transparente ator foi vinculado a um novo conjunto de ataques direcionados ao governo indiano, defesa e setores aeroespaciais usando malware de plataforma cruzada escrito em Python, Golang e Rust.
“Este conjunto de atividades durou do remaining de 2023 a abril de 2024 e deverá persistir”, disse a equipe de pesquisa e inteligência do BlackBerry em um relatório técnico publicado no início desta semana.
A campanha de spear-phishing também é notável pelo abuso de serviços on-line populares, como Discord, Google Drive, Slack e Telegram, sublinhando mais uma vez como os agentes de ameaças estão a adoptar programas legítimos nos seus fluxos de ataque.
De acordo com a BlackBerry, os alvos dos ataques por e-mail incluíam três empresas que são partes interessadas e clientes cruciais do Departamento de Produção de Defesa (DDP). Todas as três empresas visadas estão sediadas na cidade indiana de Bengaluru.
Embora os nomes das empresas não tenham sido divulgados, há indícios de que as mensagens de e-mail tinham como alvo a Hindustan Aeronautics Restricted (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; Bharat Electronics Restricted (BEL), uma empresa estatal de eletrônicos aeroespaciais e de defesa; e BEML Restricted, uma empresa do setor público que fabrica equipamentos de movimentação de terras.
Clear Tribe também é rastreado pela comunidade de segurança cibernética sob os nomes APT36, Earth Karkaddan, Mythic Leopard, Operation C-Main e PROJECTM.
O coletivo adversário, que se acredita estar ativo desde pelo menos 2013, tem um histórico de condução de operações de espionagem cibernética contra entidades governamentais, militares e educacionais na Índia, embora também tenha realizado campanhas de adware móvel altamente direcionadas contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.
Além disso, o grupo é conhecido por experimentar novos métodos de intrusão e passou por diversos malwares ao longo dos anos, repetindo suas táticas e equipment de ferramentas muitas vezes para evitar a detecção.
Algumas das famílias de malware notáveis utilizadas pela Clear Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, com os dois últimos vinculados a um grupo de desenvolvedores autônomos baseado em Lahore.
Esses desenvolvedores estão “disponíveis para contratação” e “pelo menos um funcionário do governo trabalha como desenvolvedor de aplicativos móveis”, observou a empresa de segurança móvel Lookout em 2018.
As cadeias de ataques montadas pelo grupo envolvem o uso de e-mails de spear-phishing para entregar cargas úteis usando hyperlinks maliciosos ou arquivos ZIP, concentrando particularmente seus esforços na distribuição de binários ELF devido à forte dependência do governo indiano de sistemas operacionais baseados em Linux.
As infecções culminaram na implantação de três versões diferentes do GLOBSHELL, um utilitário de coleta de informações baseado em Python que foi documentado anteriormente pela Zscaler em conexão com ataques direcionados ao ambiente Linux em organizações governamentais indianas. Também foi implantado o PYSHELLFOX para exfiltrar dados do Mozilla Firefox.
A BlackBerry disse que também descobriu versões de script bash e binários do Home windows baseados em Python sendo servidos a partir do domínio controlado pelo agente de ameaça “apsdelhicantt(.)in” –
- swift_script.shuma versão bash do GLOBSHELL
- Silverlining.shuma estrutura de comando e controle (C2) de código aberto chamada Sliver
- swift_uzb.shum script para coletar arquivos de um driver USB conectado
- afd.exeum executável intermediário responsável por baixar win_hta.exe e win_service.exe
- win_hta.exe e win_service.exeduas versões Home windows do GLOBSHELL
No que é um sinal da evolução tática do Clear Tribe, foram observadas campanhas de phishing orquestradas em outubro de 2023 fazendo uso de imagens ISO para implantar o trojan de acesso remoto baseado em Python que usa o Telegram para fins C2.
Vale ressaltar que o uso de iscas ISO para atingir entidades governamentais indianas tem sido uma abordagem observada desde o início do ano como parte de dois conjuntos de intrusão possivelmente relacionados – um modus operandi que a empresa canadense de segurança cibernética afirmou “ter a marca de um sistema transparente Cadeia de ataque da tribo.”
Análises adicionais da infraestrutura também revelaram um programa “tudo-em-um” compilado por Golang que tem a capacidade de localizar e exfiltrar arquivos com extensões de arquivo populares, fazer capturas de tela, fazer add e obtain de arquivos e executar comandos.
A ferramenta de espionagem, uma versão modificada de um projeto de código aberto Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader binário ELF compactado em um arquivo ZIP.
“A Clear Tribe tem visado persistentemente setores críticos vitais para a segurança nacional da Índia”, disse BlackBerry. “Esse ator de ameaça continua a utilizar um conjunto básico de táticas, técnicas e procedimentos (TTPs), que vem adaptando ao longo do tempo”.
