巴基斯坦黑客在最新恶意软件活动中以印度学生为目标

高级持续威胁（APT）小组称为透明部落至少自2021以来，针对印度各教育机构学生的一场新的网络钓鱼运动一直在进行。

Cisco Talos在与黑客新闻分享的一份报告中表示：“这项新活动还表明，APT正在积极扩大其受害者网络，以包括平民用户”。

这个透明的部落演员也被冠名为APT36、C大调行动、PROJECTM、Mythic Leopard，他被怀疑是巴基斯坦人，并以使用CrimsonRAT、ObliqueRAT和CapraRAT等定制恶意软件攻击印度和阿富汗的政府实体和智库而闻名。

但2022年5月，总部位于印度的K7实验室首次观察到针对教育机构和学生的行为，这表明偏离了对手的典型重点。

Cisco Talos研究人员告诉黑客新闻：“教育部门的最新目标可能与国家间谍活动的战略目标一致”。“APT将经常以大学和技术研究机构的个人为目标，以建立长期访问权限，获取与正在进行的研究项目相关的数据”。

这家网络安全公司记录的攻击链涉及通过矛式网络钓鱼电子邮件将maldoc作为附件或链接发送到远程位置，最终导致部署CrimsonRAT。

研究人员说：“这项APT投入了大量精力，通过社会工程学使受害者感染自己”。“透明部落的电子邮件诱饵试图以相关内容表现得尽可能合法，以说服目标打开恶意文档或访问提供的恶意链接”。

CrimsonRAT，也称为SEEDOOR和Scarimson，是威胁行为体建立对受害者网络的长期访问以及将感兴趣的数据过滤到远程服务器的首选主要植入物。

由于其模块化架构，该恶意软件允许攻击者远程控制受感染的机器、窃取浏览器凭据、记录击键、捕获屏幕截图和执行任意命令。

此外，许多此类诱饵文档据说托管在教育主题域上（例如，“studentsportal）该公司于2021 6月注册，其基础设施由一家名为Zain hosting的巴基斯坦网络托管服务提供商运营。