与巴基斯坦有关的黑客在其武库中添加了新的Windows恶意软件

最新研究显示，涉嫌与巴基斯坦有联系的网络罪犯继续依赖社会工程作为其行动的关键组成部分，作为针对印度目标的不断演变的间谍活动的一部分。

这些攻击与一个名为透明部落（Transparent Tribe）的组织有关，该组织也被称为C-Major行动（Operation C-Major）、APT36和Mythic Leopard，该组织创建了模仿合法印度军事和国防组织的欺诈域名，以及其他伪装成文件共享网站的虚假域名，以承载恶意工件。

Cisco Talos的研究人员周四表示：“虽然军事和国防人员仍然是该组织的主要目标，但透明部落越来越多地将目标对准外交实体、国防承包商、研究组织和会议参与者，这表明该组织正在扩大其目标。”。

这些域名被用来传递分发CrimsonRAT和ObliqueRAT的恶意文件，该组织将新的网络钓鱼、简历文档、会议议程、国防和外交主题等诱饵纳入其运营工具包。值得注意的是，APT36之前与一场恶意软件活动有关，该活动的目标是南亚的一些组织，以看似无害的图片为幌子，在Windows系统上部署ObliqueRAT，这些图片托管在受感染的网站上。

ObliqueRAT感染也倾向于与涉及CrimsonRAT的感染不同，因为恶意有效载荷被注入受损网站，而不是将恶意软件嵌入文档本身。在塔洛斯研究人员发现的一个例子中，对手被发现使用印度工业协会的合法网站托管ObleQuerat恶意软件，然后通过使用名为HTTrack的开源网站复制工具建立类似于印度次大陆合法实体的假网站。

威胁参与者建立的另一个假域名伪装成印度第七中央支付委员会（7CPC）的信息门户，敦促受害者填写表格并下载个人指南，打开后，在下载的电子表格中启用宏时执行CrimsonRAT。类似地，攻击者注册的第三个流氓域名模仿了一个名为“陆战研究中心”（CLOWS）的印度智库。

“透明部落在很大程度上依赖maldocs来传播他们的Windows植入物，”研究人员说。“虽然CrimsonRAT仍然是该集团主要的Windows植入软件，但他们在2020年初开发并发布的ObliqueRAT表明，他们正在迅速扩展Windows恶意软件库。”

在扩大其受害范围、升级恶意软件库和设计令人信服的诱饵时，威胁行为人显然愿意为其行动披上合法的外衣，希望这样做能增加成功的可能性。

研究人员说：“透明部落的战术、技术和程序（TTP）自2020年以来基本保持不变，但该组织继续在其操作工具包中实施新的诱饵。”。“maldoc诱惑透明部落的多样性表明该组织仍然依赖社会工程作为其运营的核心组成部分。”