Pakistanlı APT Hacker'ları Yeni Kötü Amaçlı Yazılımlarla Hint Eğitim Enstitülerine Ve Öğrencilerine Saldırıyor

Son zamanlarda, Cisco Talos, Şeffaf Kabile APT grubunun devam eden kötü niyetli bir kampanyaya katıldığını keşfetti. Pakistan'dan APT korsanları, öğrencilere zarar vermek için Hindistan'ın dört bir yanında bulunan çeşitli eğitim kurumlarına karşı kötü niyetli bir kampanya yürüttü.

Devam eden bu aktif kampanyada, APT kurban ağındaki sivil kullanıcıları da hedef alıyor. Hiç şüphe yok ki APT ağı, faaliyetlerinin bir sonucu olarak genişlemektedir.

Hedeflerine ulaşmak ve hükümeti ve sözde hükümet kurumlarını hedeflemek için bu APT grubu aşağıdaki gibi RAT'ları kullanır:

• CrimsonRAT
• ObliqueRAT
• CapraRAT

Transparent Tribe actor'ün yanı sıra, bu grup aşağıdaki gibi başka isimlerle de bilinir:

• APT36
• Operation C-Major
• PROJECTM
• Mythic Leopard

Mayıs 2022'de Hindistan'ın K7 Labs şirketi, ilk olarak eğitim kurumlarına ve öğrencilere yönelik hedefli bir saldırı düzenlendiğini gözlemledi. Buna ek olarak, APT'lerin en olası şüphelilerinden biri, APT'lerle uğraştığı kesin olarak tahmin edilen Pakistanlı bir barındırma firması olan "ZainHosting" dir.

Bunu kullanarak, Transparent Tribe bu kampanyayı kendi başlarına iletmek için kullandıkları altyapı sistemini konuşlandırabildi ve işletebildi.

APT Profili

• Grup Adı: Şeffaf Kabile
• Grup Menşei: Pakistan
• Hedef: Hindistan ve Afganistan'daki hükümetler ve askeri personel
• Kullanılan İmplantlar: CrimsonRAT, ObliqueRAT, CapraRAT

Bulaşma Zinciri

Hedefli kimlik avı saldırılarında, kötü amaçlı bir belge, kötü amaçlı bir belge, kötü amaçlı belge içeren bir e-postanın parçası olarak hedefe ek olarak veya uzak bir konuma bağlantı olarak teslim edilir.

Önceki Şeffaf Kabile kampanyalarında, kötü amaçlı VBA makroları maldoc'ların bir parçası olarak kullanılıyordu. Katıştırılmış bir arşiv dosyasını ayıklayan maldoc'a bir makro eklenir.

Ardından, içerdiği kötü amaçlı yazılımı yürütebilmek için dosyayı açar. Bu dosya, CrimsonRAT adlı kötü amaçlı yazılım içeren bir arşiv içerir.

CrimsonRAT'ın bilinebileceği birkaç isim vardır:

• SEEDOOR
• Scarimson

Tehdit aktörleri söz konusu olduğunda, CrimsonRAT hangi implantın kullanılacağını belirlerken tercih edilen temel implant görevi görür. Bu teknik, saldırganlar tarafından kurban ağlarına uzun vadeli erişim elde etmek ve kurban ağından tehdit aktörlerinin kontrolü altındaki uzak bir sunucuya önemli verileri iletmek için kullanılır.

Bu kötü amaçlı yazılımın bulaştığı makine üzerinde uzaktan kontrol sahibi olmak için, saldırganların modüler mimarisinden yararlanmaları gerekir. Virüs bulaşmış makinenin kontrolünü ele geçirdikten sonra, saldırganlar aşağıdaki yasadışı etkinlikleri gerçekleştirebilir:

• Tarayıcı kimlik bilgilerini çalma.
• Tuş vuruşlarını kaydetme.
• Ekran görüntüleri yakalama.
• Rastgele komutlar yürütme.

Hint alt kıtası boyunca, Transparent Tribe, dağıtım kanallarını genişleterek kurban sayısını genişletmek için agresif bir şekilde geriliyor.

Bunun dışında, şimdi yeni kampanyalarında sivilleri, özellikle de eğitim kurumlarıyla ilişkili insanları hedef alıyorlar. Bu yüksek motivasyonlu düşmanların bir sonucu olarak, organizasyonlar değişen ortamın bir sonucu olarak stratejileri hızla değiştiğinden, onlara karşı uyanık kalmalıdır.

Siber saldırıların önlenmesinde en iyi sonuçlar, risk analizi yaklaşımlarına dayanan kapsamlı savunma stratejileri ile elde edilebilir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.