أضاف المتسللون المرتبطون بباكستان برامج ضارة جديدة لـ Windows إلى ترسانتها

وفقًا لبحث جديد ، يواصل مجرمو الإنترنت الذين يشتبه في صلتهم بباكستان الاعتماد على الهندسة الاجتماعية كعنصر حاسم في عملياتها كجزء من حملة تجسس متطورة ضد أهداف هندية. تم ربط الهجمات بمجموعة تسمى القبيلة الشفافة ، والمعروفة أيضًا باسم عملية C-Major ، و APT36 ، و Mythic Leopard ، والتي أنشأت مجالات احتيالية تحاكي المنظمات العسكرية والدفاعية الهندية الشرعية ، ونطاقات مزيفة أخرى تتظاهر بأنها مواقع مشاركة ملفات إلى تستضيف القطع الأثرية الضارة. قال باحثون من سيسكو تالوس يوم الخميس: "في حين أن أفراد الجيش والدفاع لا يزالون يشكلون الأهداف الرئيسية للمجموعة ، فإن منظمة" ترانسفانت ترايب "تستهدف بشكل متزايد الكيانات الدبلوماسية ومقاولي الدفاع والمنظمات البحثية والحاضرين في المؤتمر ، مما يشير إلى أن المجموعة توسع نطاق استهدافها" مدقق كلمة المرور تُستخدم هذه المجالات لتوصيل maldocs بتوزيع CrimsonRAT و ObliqueRAT ، مع دمج المجموعة للتصيد الاحتيالي الجديد والإغراءات مثل مستندات الاستئناف وجداول أعمال المؤتمرات والموضوعات الدفاعية والدبلوماسية في مجموعة أدواتها التشغيلية. تجدر الإشارة إلى أن APT36 كان مرتبطًا سابقًا بحملة برامج ضارة تستهدف المنظمات في جنوب آسيا لنشر ObliqueRAT على أنظمة Windows تحت ستار الصور التي تبدو غير ضارة والتي يتم استضافتها على مواقع الويب المصابة. تميل إصابات ObliqueRAT أيضًا إلى الانحراف عن تلك التي تتضمن CrimsonRAT حيث يتم حقن الحمولات الضارة في مواقع الويب المخترقة بدلاً من تضمين البرامج الضارة في المستندات نفسها. في إحدى الحالات التي حددها باحثو Talos ، تم العثور على الخصوم لاستخدام الموقع الشرعي لرابطة الصناعات الهندية لاستضافة البرامج الضارة ObliqueRAT ، قبل إنشاء مواقع ويب مزيفة تشبه تلك الخاصة بالكيانات الشرعية في شبه القارة الهندية من خلال الاستفادة من أداة نسخ مواقع الويب مفتوحة المصدر. يسمى HTTrack. نطاق مزيف آخر أنشأه ممثل التهديد يتنكر كبوابة معلومات للجنة الدفع المركزية السابعة (7CPC) في الهند ، وحث الضحايا على ملء نموذج وتنزيل دليل شخصي ، عند فتحه ، ينفذ CrimsonRAT عند تمكين وحدات الماكرو في جدول البيانات الذي تم تنزيله. على نفس المنوال ، هناك مجال مارق ثالث سجله المهاجمون ينتحل شخصية مؤسسة فكرية هندية تسمى مركز دراسات الحرب البرية (CLAWS). وقال الباحثون: "تعتمد شركة Transparent Tribe بشكل كبير على استخدام maldocs لنشر غرسات النوافذ الخاصة بهم". "في حين أن CrimsonRAT لا تزال هي غرسة Windows الأساسية للمجموعة ، فإن تطويرها وتوزيعها ObliqueRAT في أوائل عام 2020 يشير إلى أنها تقوم بسرعة بتوسيع ترسانة برامج Windows الضارة الخاصة بهم. من خلال توسيع نطاق ضحيته ، وتبديل ترسانته من البرمجيات الخبيثة ، وتصميم إغراءات مقنعة ، أظهر الفاعل استعدادًا واضحًا لإضفاء الشرعية على عملياته على أمل أن يؤدي ذلك إلى زيادة احتمالية النجاح. قال الباحثون: "ظلت تكتيكات وتقنيات وإجراءات القبيلة الشفافة دون تغيير إلى حد كبير منذ عام 2020 ، لكن المجموعة تواصل تطبيق إغراءات جديدة في مجموعة أدواتها التشغيلية". "يشير تنوع السحر الذي تستخدمه القبيلة الشفافة إلى أن المجموعة لا تزال تعتمد على الهندسة الاجتماعية كعنصر أساسي في عملياتها."