Chiến dịch tấn công mới của nhóm tin tặc Transparent Tribe nhắm vào các quan chức của Ấn Độ - Bảo mật

Chiến dịch tấn công mới của nhóm tin tặc Transparent Tribe nhắm vào các quan chức của Ấn Độ
cyber attack

Một nhóm tin tặc có khả năng là người Pakistan được cho là đã tham gia vào một chiến dịch nhằm tấn công các mục tiêu bằng một loại trojan truy cập từ xa dựa trên Windows có tên là CrimsonRAT, ít nhất là từ tháng 6/2021.

Các chuyên gia của Cisco Talos cho biết trong một phân tích được chia sẻ với The Hacker News: “Transparent Tribe là một nhóm APT hoạt động khá tích cực ở khu vực Tiểu lục địa Ấn Độ. Mục tiêu chính của chúng là chính phủ và những nhân viên quân sự ở Afghanistan và Ấn Độ. Chiến dịch này thúc đẩy việc tấn công mục tiêu này, và mục tiêu trọng tâm của chúng là thiết lập quyền truy cập lâu dài cho các hoạt động gián điệp”.

Tháng trước, nhóm này đã mở rộng bộ công cụ mã độc của họ để xâm nhập vào các thiết bị Android với một cửa hậu có tên là CapraRAT thể hiện “độ tương đồng” cao với CrimsonRAT.

Danh sách liệt kê các cuộc tấn công mới nhất do Cisco Talos tổng hợp bao gồm việc sử dụng các tên miền giả mạo nhái các trang web chính phủ và các tổ chức có liên quan để phát tán mã độc. Điều này bao gồm một môi trường stager dựa trên Python được sử dụng để cài đặt các công cụ do thám, RAT dựa trên .NET cũng như các công cụ hỗ trợ cấy ghép dựa trên .NET để thực thi mã tùy ý trên hệ thống bị nhiễm.

infection chain

Bên cạnh việc liên tục phát triển các chiến thuật triển khai và các chức năng độc hại, Transparent Tribe còn dựa vào nhiều phương thức phát tán. Chẳng hạn như file thực thi giả mạo các file cài đặt của các ứng dụng hợp pháp, tệp lưu trữ và vũ khí hóa các tài liệu để nhắm vào các thực thể và cá nhân Ấn Độ.

Một trong những file thực thi phát tán mã độc giả dạng là Kavach (có nghĩa là “áo giáp” trong tiếng Hindi). Kavach một giải pháp xác thực hai yếu tố do chính phủ Ấn Độ ủy quyền bắt buộc để truy cập các dịch vụ email, nhằm phát hiện các malware.

Cũng được đưa vào sử dụng là các hình ảnh làm mồi nhử theo chủ đề COVID-19 và file đĩa cứng ảo (hay còn gọi là file VHDX), được sử dụng làm bệ phóng để truy xuất tải trọng bổ sung từ máy chủ điều khiển và chỉ huy từ xa. Chẳng hạn như CrimsonRAT được sử dụng để thu thập dữ liệu nhạy cảm và thiết lập quyền truy cập lâu dài vào hệ thống mạng của nạn nhân.

Trong khi CrimsonRAT là “sự lựa chọn chủ yếu” cho nhóm hacker để thực hiện các hoạt động gián điệp trong các chiến dịch nhằm mục đích gài bẫy một loạt nạn nhân. Nhóm APT cũng đã được quan sát thấy đã triển khai ObliqueRAT trong “Các cuộc tấn công có chủ đích nhắm vào nhân viên chính phủ và trong các hoạt động nơi mà tính năng ẩn mình là trọng tâm hàng đầu trong chuỗi lây nhiễm của những kẻ tấn công”.

Bất chấp việc đa dạng hóa danh mục malware, đây không phải là lần đầu tiên Transparent Tribe sử dụng các ứng dụng hợp pháp do chính phủ Ấn Độ duy trì để làm mồi nhử.

Vào tháng 9/2021, Cisco Talos đã tiết lộ một chiến dịch tương tự có tên “Armor Piercer“. Chiến dịch này sử dụng các chủ đề xoay quanh các tài liệu hoạt động và hướng dẫn liên quan đến ứng dụng Kavach nhằm phát tán trojan Netwire và Warzone (AveMaria).

Một hoạt động đáng chú ý khác là một chiến dịch vào tháng 7/2021 do một tin tặc được gọi là SideCopy thực hiện. Chiến dịch này tấn công các nhân viên chính phủ ở Ấn Độ bằng cách sử dụng các chủ đề và chiến thuật tương tự như của nhóm Transparent Tribe để phát tán tập hợp malware của riêng họ.

Điều này đã dẫn tới việc cho ra mắt một mô-đun dựa trên Golang được gọi là Nodachi, được thiết kế để tiến hành do thám và đánh cắp các file liên quan đến Kavach, với mục đích cuối cùng là trích xuất các thông tin từ các nhân viên chính phủ Ấn Độ.

Các chuyên gia cho biết: “Việc sử dụng nhiều phương thức phát tán và mã độc riêng có thể dễ dàng được sửa đổi cho các hoạt động cho thấy rằng nhóm này rất hung hãn, bền bỉ, nhanh nhẹn và không ngừng phát triển các chiến thuật của chúng để tấn công các mục tiêu”.

Theo Thehackernews

The post Chiến dịch tấn công mới của nhóm tin tặc Transparent Tribe nhắm vào các quan chức của Ấn Độ appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/a9GKjIm

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more