透明部落黑客针对印度官员发起的新黑客攻击活动

从2021年6月开始，一名可能来自巴基斯坦的威胁行为者被认为是另一场阴谋的幕后操纵者，该阴谋使用一种名为CrimsonRAT的基于windows的远程访问木马程序。

“透明部落在印度次大陆一直是一个高度活跃的APT组织，”思科塔罗斯研究人员在与《黑客新闻》分享的分析中说。“他们的主要目标是阿富汗和印度的政府和军事人员。这场运动进一步推动了这一目标以及他们建立长期间谍活动通道的中心目标。”

上个月，advanced persistent threat扩展了其恶意软件工具集，用一个名为CapraRAT的后门破坏Android设备，该后门显示出与CrimsonRAT的高度“交叉”。

Cisco Talos详细描述的最新一组攻击涉及利用模拟合法政府和相关组织的假域来交付恶意有效载荷，包括用于安装的基于Python的stager。基于网络的侦察工具和老鼠以及一个赤裸裸的人。NET的移植程序，在受感染的系统上运行任意代码。

除了不断改进部署策略和恶意功能外，透明部落还依赖各种交付方法，例如模拟合法应用程序安装程序的可执行文件、归档文件和武器化文档，以印度实体和个人为目标。

其中一个downloader可执行文件伪装成Kavach（在印地语中是“盔甲”的意思），这是一种印度政府授权的访问电子邮件服务所需的双因素身份验证解决方案，目的是传递恶意工件。

还使用了以新冠肺炎为主题的诱饵图像和虚拟硬盘文件（又称VHDX文件），它们被用作从远程命令和控制服务器（如CrimsonRAT）检索额外有效载荷的启动平台，CrimsonRAT用于收集敏感数据并建立对受害者网络的长期访问。

研究人员说：“使用多种类型的运载工具和新的定制恶意软件，这些软件可以很容易地进行修改，以实现敏捷操作，这表明该组织具有攻击性、持久性、灵活性，并不断发展其策略来感染目标”。