Sommario
BlackBerry ha recentemente scoperto che il gruppo di minacce persistenti avanzate (APT) noto come Transparent Tribe (APT36) sta prendendo di mira i settori del governo, della difesa e dell’aerospazio in India. Questa campagna di attacchi, iniziata alla fine del 2023, continua fino ad aprile 2024 e si prevede che persisterà. Transparent Tribe, operante dal Pakistan, ha adattato il proprio arsenale di strumenti e tecniche per colpire obiettivi strategici in India. Utilizzando linguaggi di programmazione multipiattaforma come Python, Golang e Rust, il gruppo ha sviluppato una serie di strumenti malevoli per condurre operazioni di spionaggio contro settori critici per la sicurezza nazionale indiana.
Tecniche e Strumenti Utilizzati
Il gruppo ha utilizzato una varietà di strumenti malevoli, inclusi document stealers basati su Python, script shell offuscati e agenti Poseidon. Una delle nuove aggiunte al loro arsenale è uno strumento di spionaggio “all-in-one” compilato in Golang, capace di trovare ed esfiltrare file, scattare screenshot e eseguire comandi.
Vectore di Attacco
Il vettore di attacco principale utilizzato da Transparent Tribe è il phishing mirato, impiegando archivi ZIP e immagini ISO malevoli. Questi vettori sono stati usati per distribuire file eseguibili dannosi che rubano credenziali e altri dati sensibili.
Infrastruttura di Rete
Transparent Tribe sfrutta vari servizi web per le proprie operazioni, tra cui Telegram, Google Drive e Discord, per il comando e controllo (C2) e l’esfiltrazione di dati. I domini utilizzati per queste operazioni includono piattaforme come Hostinger International Limited, Contabo GmbH e NameCheap, Inc.
Analisi Tecnica
Durante le indagini, sono stati trovati numerosi artefatti che confermano l’attribuzione degli attacchi a Transparent Tribe. Per esempio, un file servito dall’infrastruttura del gruppo impostava la variabile di fuso orario (TZ) su “Asia/Karachi,” indicativa del fuso orario pakistano. Inoltre, è stato scoperto un indirizzo IP remoto associato a un operatore di rete mobile pakistano all’interno di un’email di spear-phishing.
Contesto Geopolitico
Le tensioni tra India e Pakistan sono aumentate negli ultimi anni, con frequenti scontri al confine. La continua evoluzione delle capacità di difesa aerospaziale dell’India ha probabilmente motivato Transparent Tribe a intensificare le operazioni di spionaggio, mirando a guadagnare un vantaggio strategico.
Le attività di Transparent Tribe evidenziano l’importanza di rafforzare le misure di sicurezza informatica nei settori governativi e della difesa come suggerisce nell’analisi BlackBerry. Il gruppo continua a evolversi, utilizzando linguaggi di programmazione multipiattaforma e strumenti offensivi open source per condurre operazioni di spionaggio. Questa attività è destinata a continuare, specialmente in un contesto di crescenti tensioni geopolitiche.
