HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。 网络安全公司CYFIRMA表示：“初始入侵通过钓鱼邮件实现。攻击者利用武器化的.desktop快捷方式文件针对BOSS Linux环境，一旦用户打开这些文件，便会下载并执行恶意载荷。” 透明部落（又称APT36）被评估为源自巴基斯坦。该组织及其分支SideCopy长期以多种远程控制木马（RAT）入侵印度政府机构。此次跨平台攻击展示了该组织的持续技术演进，使其能扩大目标范围并确保在受害系统中的持久访问权限。 攻击链分析 攻击始于伪装成会议通知的钓鱼邮件，实际附件为恶意Linux桌面快捷方式文件（如“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件假冒PDF文档诱骗用户点击，触发执行隐藏的Shell脚本。该脚本作为下载器，从攻击者控制的服务器（”securestore[.]cv”）获取十六进制编码文件，保存为ELF二进制程序；同时启动Firefox浏览器打开Google Drive上的伪装PDF文件以降低怀疑。基于Go语言的二进制程序会连接硬编码的命令与控制（C2）服务器（modgovindia[.]space:4000），接收指令、获取后续载荷并窃取数据。恶意软件还通过cron计划任务实现持久化，确保系统重启或进程终止后自动执行主载荷。 技术对抗手段 安全公司CloudSEK独立证实此活动，指出恶意软件具备系统侦察功能，并通过虚拟反调试和反沙盒检测混淆分析工具。Hunt.io进一步分析发现，攻击最终部署了透明部落已知后门Poseidon，支持数据收集、长期访问、凭证窃取及潜在横向移动能力。CYFIRMA强调：“APT36能根据目标操作系统环境定制投递机制，显著提升攻击成功率，使其得以长期潜伏于关键政府基础设施并规避传统安全防护。” 历史攻击模式关联 此次披露前数周，透明部落还被发现通过仿冒域名针对印度国防机构及关联政府实体，旨在窃取凭证和双因素认证（2FA）验证码。用户通过钓鱼邮件被诱导至恶意链接。CYFIRMA描述其流程：“受害者在仿冒登录页输入有效邮箱并点击‘下一步’后，将被重定向至第二页面，诱骗其输入邮箱密码及Kavach验证码。”需注意的是，针对印度政府机构使用的双因素认证系统Kavach的攻击，是透明部落及SideCopy自2022年初反复使用的成熟手段。CYFIRMA补充：“此类抢注域名与巴基斯坦服务器托管基础设施的组合，完全符合该组织一贯的战术、技术和程序（TTPs）。” 南亚地区威胁扩展 同期，另一南亚APT组织SideWinder也被曝光通过钓鱼邮件攻击孟加拉国、尼泊尔、巴基斯坦、斯里兰卡和土耳其。Hunt.io指出：“攻击者仿冒官方通信，诱骗受害者在托管于Netlify和Pages.dev的伪造登录页提交凭证。其伪造的Zimbra邮箱和安全门户页面模仿政府邮件、文件共享服务界面，引导用户通过虚假登录面板提交凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文