Transparent Tribe: Угроза кибершпионажа для Индии
APT-C-56, известная как Transparent Tribe, представляет собой активную хакерскую группировку, имеющую связи с правительственными операциями в Южной Азии. Их основная цель — нацеливание на военные и правительственные учреждения с целью сбора разведывательной информации.
Недавние атаки и методы работы
Недавняя атака, выявленная в августе 2023 года, продемонстрировала новые методы, используемые этой группировкой. Она была связана с:
- Использованием поддельного приложения для общения в чате, предназначенного для кражи конфиденциальной информации;
- Нацеливанием на персонал индийских вооруженных сил и другие важные ведомства, такие как сельское хозяйство и авиация;
- Инициированием атаки через фишинговые веб-сайты, маскирующиеся под страницы загрузки Google Play.
Фактически, злоумышленники распространили вредоносное приложение для чата под названием «Vibe». Эта операция была активна по меньшей мере с июня 2023 года и затронула более 60 устройств жертв.
Технические детали вредоносного ПО
Приложение «Vibe» объединяет функции чата с возможностями шпионажа. Оно использует базу данных Firebase Realtime для хранения данных, что предполагает, что приложение было разработано независимо. К основным функциональным возможностям вредоносного ПО относятся:
- Кража контактов;
- История звонков;
- Сообщения;
- Медиафайлы из WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta).
Конструкция вредоносного ПО позволяет скрывать его вредоносную активность, выдавая себя за обычное приложение для общения в чате. Эта тактика продолжает привлекать различных хакеров.
Связь с Пакистаном и дальнейшие выводы
Анализ инфраструктуры командования и контроля (C&C) показал, что часовой пояс, установленный разработчиком, совпадает с Карачи, Пакистан, что указывает на потенциальное местонахождение хакера. IP-адрес C&C, зарегистрированный в нескольких образовательных и корпоративных доменах в Пакистане, еще раз подтверждает эту связь.
Изучение данных о жертвах выявило преобладание жертв, связанных с индийскими военными, что усиливает подозрения в отношении мотивов атаки Transparent Tribe. Важно отметить, что на устройстве потенциального злоумышленника был обнаружен файл под названием «y.apk», идентифицированный как троян для мобильного удаленного доступа (RAT), относящийся к семейству CapraRAT.
Эти факты подтверждают, что Transparent Tribe совершенствует свой подход к развертыванию вредоносных программ и расширяет возможности уклонения от обнаружения. Скрытый характер внедрения вредоносных функций в чат-приложения увеличивает их продолжительность работы и эффективность, что является заметным сдвигом в тактике группировки и подчеркивает меняющийся ландшафт угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
