Transparent Tribe kampány
A BlackBerry azonosította az indiai kormányzati, védelmi és repülőgépipari ágazatokat célzó, pakisztáni székhelyű Transparent Tribe (APT36) nevű csoport új kampányát, ami 2023 végétől 2024 áprilisáig tartott, és várhatóan folytatódik.
A Transparent Tribe korábbi kampányaiban a csoportot az eszköztáruk adaptálásában és fejlesztésében látták. Az elmúlt hónapokban a csoport nagymértékben támaszkodott az olyan platformokon átívelő programozási nyelvekre, mint a Python, a Golang és a Rust, valamint visszaéltek olyan népszerű webes szolgáltatásokkal, mint a Telegram, a Discord, a Slack és a Google Drive. Megfigyeltük, hogy a csoport számos olyan rosszindulatú eszközt vetett be, amelyek tükrözik a korábbi kampányokban használtakat, valamint újabb iterációkat, amelyeket mérsékelt vagy nagy valószínűséggel úgy értékel a BlackBerry, hogy valóban a Transparent Tribe hajtotta végre.
Vizsgálataik során több olyan nyomot azonosítottak, amelyek bizonyítják az attribúciót. A csoport infrastruktúrájából kiszolgált fájlban az időzóna (TZ) változót “Asia/Karachi”, azaz pakisztáni időzónába állították be. Egy távoli IP-címet is felfedeztek, amely egy pakisztáni székhelyű mobil adatátviteli hálózat üzemeltetőjéhez kapcsolódik, és amely egy spear-phishing e-mailbe volt beágyazva. Az India nemzetbiztonsága szempontjából létfontosságú kritikus szektorok stratégiai célba vétele továbbá arra utal, hogy a csoport potenciálisan Pakisztán érdekeihez igazodik.
Az ismert taktikák mellett a Transparent Tribe új iterációkat is bemutatott. Először 2023 októberében használtak ISO imageket támadási vektorként, amit a jelenlegi kampányaikban is azonosítottak. A BlackBerry felfedezett egy új, Golang nyelvre fordított, a csoport által használt kémkedési eszközt is, amely képes népszerű fájlkiterjesztésekkel rendelkező fájlok felkutatására és kiszivárogtatására, képernyőképek készítésére, fájlok feltöltésére és letöltésére, valamint parancsok végrehajtására.